Информационна сигурност в системите за електронна търговия. „Сигурност на електронната търговия. Основни направления на защита на информацията

Въведение…………………………………………………………………………..…3
1. Електронната търговия и историята на нейното развитие……………………….............. ..5
1.1. История на електронната търговия………………………………………………………...6
2. Сигурност на електронната търговия………………………………………..8
2.1. Рискове и заплахи………………………………………………………….…… ...11
Заключение………………………………………………………………………….17
Списък с референции………………………………………………………………... 20

Въведение

Глобалният интернет направи електронната търговия достъпна за компании от всякакъв размер. Ако по-рано организирането на електронен обмен на данни изискваше значителни инвестиции в комуникационната инфраструктура и беше осъществимо само за големи компании, тогава използването на Интернет днес позволява на малките фирми да се присъединят към редиците на „електронните търговци“. Електронна витрина в World Wide Web дава възможност на всяка компания да привлече клиенти от цял свят. Такъв онлайн бизнес формира нов канал за продажби - „виртуален“, който не изисква почти никакви материални инвестиции. Ако информацията, услугите или продуктите (например софтуер) могат да бъдат доставени чрез мрежата, тогава целият процес на продажба (включително плащане) може да се извърши онлайн.
Определението за електронна търговия включва не само интернет-ориентирани системи, но и „електронни магазини“, които използват други комуникационни среди – BBS, VAN и др. В същото време процедурите за продажба, инициирани от информация от WWW, но използващи факс, телефон и др. за обмен на данни, могат само частично да бъдат класифицирани като електронна търговия. Също така отбелязваме, че въпреки факта, че WWW е технологичната основа на електронната търговия, редица системи използват и други комуникационни възможности. По този начин искания към продавача за изясняване на параметрите на продукта или за извършване на поръчка могат да бъдат изпращани и по електронна поща.
Днес доминиращото средство за плащане при онлайн покупки са кредитните карти. На сцената обаче навлизат и нови платежни инструменти: смарт карти, цифрови пари в брой, микроплащания и електронни чекове.
Електронната търговия включва не само онлайн транзакции. Областта, обхваната от тази концепция, трябва да включва и такива дейности като провеждане на маркетингови проучвания, идентифициране на възможности и партньори, поддържане на взаимоотношения с доставчици и потребители, организиране на документооборота и т.н. Следователно електронната търговия е сложна концепция и включва данни за електронен обмен като едно на компонентите.

Електронната търговия е вид икономическа дейност за популяризиране на стоки и услуги от производители към потребители чрез електронни компютърни мрежи. С други думи, електронната търговия е маркетинг, придобиване и продажба на стоки и услуги чрез компютърни мрежи, главно Интернет. Електронната търговия предоставя нови възможности за подобряване на ефективността на търговските дейности като цяло.
За разлика от традиционната търговия, електронната търговия предоставя на компаниите следните възможности:
A) Продавайте продуктите си чрез Интернет;
B) Развиване и координиране на взаимоотношения с потребители и доставчици;
Б) Обмен на стоки и услуги по електронен път;
Г) Намалете цената на доставката на дигитални продукти и следпродажбената поддръжка на клиенти;
Г) Реагирайте бързо на пазарните промени;
Д) Намаляване на режийните разходи;
G) Подобрете обслужването на клиентите и въведете свои собствени услуги за клиентите;
З) Разширете кръга на потребителите;
I) Взема предвид индивидуалните нужди на купувача;
Електронната търговия позволява на купувачите да:
А) Купувайте стоки по всяко време и навсякъде;
Б) Направете сравнителен анализ на цените и изберете най-доброто;
В) Получете едновременен достъп до широка гама от продукти;
Г) Изберете удобни механизми за извършване на покупки;
Г) Получавайте информация и новини в зависимост от вашите предпочитания.
1.1 История на електронната търговия

Първите системи за електронна търговия се появяват през 60-те години в САЩ. Те са били използвани в транспортни компании за обмен на данни между различни служби при подготовката на полети и за резервация на билети.
Първоначално подобна търговия се извършва чрез мрежи извън Интернет, като се използват специални стандарти за електронен обмен на данни между организациите.
До края на 60-те години в Съединените щати имаше четири индустриални стандарта за обмен на данни между различни транспортни компании. За да комбинира тези стандарти, през 1968 г. е създаден специален Комитет за хармонизиране на транспортните данни. резултатите от работата са в основата на новия стандарт EDI.
През 70-те години подобни събития се случват в Англия. В тази страна основната област на приложение на EDI не беше транспортът, а търговията. Наборът от спецификации на Tradacoms, избран тук, е приет от Икономическата комисия за Европа на ООН като стандарт за обмен на данни в международни търговски организации.
През 80-те години на миналия век започва работа за комбиниране на европейски и американски стандарти. В резултат на тази работа 42-рата сесия на Работната група за улесняване на международната търговия през септември 1996 г. прие Препоръка № 25 „Използване на стандарта на ООН за електронен обмен на данни в администрацията, търговията и транспорта“.
По този начин. В началото на 90-те години се появи стандартът EDI-FACT, който беше приет от ISO (ISO 9735).
Но окончателното сливане на американските и европейските стандарти не се случи. Появи се нова, по-обещаваща възможност за електронен обмен на данни – обмен на данни през Интернет.
Развитието на Интернет с неговата ниска цена за предаване на данни направи модернизацията на EDI системите спешна. В резултат на това в средата на 90-те години на миналия век беше разработен друг стандарт - EDIFACT през Интернет (EDIINT), който описва как да се предаде EDI транзакция, използвайки защитените протоколи за имейл SMTP/S-MIME.
За появата и нарастването на популярността на електронната търговия съществуват редица демографски и технологични предпоставки, като например:
а) широк достъп до информационни технологии, по-специално компютри и интернет;
б) повишаване нивото на образованост на обществото и, следователно, по-свободно боравене с технологиите;
в) технологичният прогрес и дигиталната революция направиха възможно много цифрови устройства да взаимодействат едно с друго, като компютър, мобилен телефон и др.;
г) глобализация, отворена икономика, конкуренция в световен мащаб;
д) достъпност на електронната търговия за всеки, по всяко време и на всяко място.
е) желание за пестене на време;
ж) нарастване на асортимента от стоки и услуги, нарастващо търсене на специални стоки и услуги.

Един от основните проблеми на електронната търговия днес си остава проблемът със сигурността, т.е. минимизиране на рисковете и защита на информацията.
Причините за нарушаване на нормалното функциониране на една фирма в Интернет могат да бъдат: компютърни вируси, измами, водещи до финансови загуби; кражба на поверителна информация; незаконна намеса във файлове с поверителна информация за потребителите и др.
Степента на защита на уебсайта на електронната компания зависи от нивото на поверителност на информацията в него и необходимостта от нейното съответствие. Така например, ако номерата на кредитни карти се въвеждат на уебсайт, тогава е необходимо да се осигури най-висока степен на защита за уеб сървъра.
Задачите за поддържане на сигурността в електронната търговия се свеждат до удостоверяване на потребителя, запазване на поверителността и целостта на информацията: удостоверяване - проверка на автентичността на потребителя; конфиденциалност – гарантиране на запазването на личната информация, предоставена от потребителя; цялост на информацията - липса на изкривявания в предаваната информация.
Хакерите и вирусите могат да представляват заплаха за целостта на информацията на уеб сървъра.
Хакерът прониква в слабо защитени компютри и сървъри и инсталира специални програми - невидими, които са доста трудни за откриване. Обикновено такава невидима програма не вреди на уебсайта, но създава голямо задръстване в мрежата. Хакерът определя целта на атаката си и активира предварително инсталирана програма, като изпраща команда по интернет до няколко компютъра. Това започва атака, която претоварва мрежата на търговско предприятие.
Друг сериозен вид пробив в сигурността на компютрите и сървърите в интернет е вирусът. Вирусите нарушават целостта на системата и подвеждат мерките за сигурност на информацията. Най-доброто средство за защита срещу вируси е инсталирането и периодичното актуализиране на антивирусни програми, както и използването на защитни стени. Защитната стена е филтър, инсталиран между корпоративна мрежа и интернет, за да защити информацията и файловете от неоторизиран достъп и да позволи достъп само на оторизирани лица. По този начин защитната стена предотвратява навлизането на компютърни вируси и хакери в мрежата на предприятието и я защитава от външно влияние, когато е свързана към Интернет.
При внедряването на електронната търговия един от най-важните въпроси е поверителността на информацията. Информацията, предоставена от потребителя на компанията, трябва да бъде надеждно защитена. Един от начините за осигуряване на сигурно и поверително предаване на данни през компютърни мрежи е криптографията, т.е. криптиране или кодиране на данни, така че само страните, участващи в определена транзакция, да могат да ги прочетат.
При шифроване подателят на съобщение преобразува текста в набор от знаци, които не могат да бъдат прочетени без използване на специален ключ, известен на получателя. Ключът към шифъра е поредица от знаци, съхранени на твърдия диск или флопи диска на компютъра. Степента на сигурност на информацията зависи от алгоритъма за криптиране и дължината на ключа, измерена в битове.
Има два вида алгоритми за криптиране:

Един от най-известните и обещаващи методи за удостоверяване на подателя на съобщения е електронният цифров подпис (EDS) - електронният еквивалент на ръкописния подпис. Първият цифров подпис е предложен през 1976 г. от Whitfield Diffie от Станфордския университет. Федералният закон на Руската федерация „За електронния цифров подпис“ гласи, че електронният цифров подпис е реквизит на електронен документ, предназначен да защити този документ от фалшифициране, получен в резултат на криптографска трансформация на информация с помощта на частния ключ на електронен цифров подпис и позволява да се идентифицира собственикът на сертификата за ключ за подпис, както и да се установи липсата на изкривяване на информацията в електронния документ.
Процесът на прилагане на електронен цифров подпис е както следва:
1. подателят създава съобщение и го криптира със своя частен ключ, който същевременно е електронен цифров подпис на подателя. В този случай както текстът на самата комуникация, така и цифровият подпис, приложен в края на документа, са криптирани.
2. изпращачът предава криптираното писмо и своя публичен ключ по комуникационни канали на получателя;
3. Получателят дешифрира съобщението с помощта на публичния ключ на подателя.
4. Заедно с цифровия подпис обикновено се използва една от съществуващите хеш функции. Функцията HASH създава низ от знаци, наречен резюме на съобщението, докато обработва съобщението. Подателят създава резюме на съобщението, криптира го и го препраща на получателя. Получателят обработва съобщението със същата функция HASH и също така получава резюме на съобщението. Ако и двете обобщения на съобщенията съвпадат, тогава съобщението е получено без повреда.
5. Цифровите сертификати се използват за потвърждаване на собствеността върху публичен ключ на конкретно лице или търговско предприятие. Цифровият сертификат е документ, издаден от сертифициращ орган за потвърждаване на самоличността на конкретно лице или предприятие чрез проверка на неговото име и публичен ключ. За да получите цифров сертификат, трябва да се свържете със сертифициращия център и да предоставите необходимата информация. Всеки сертифициращ орган определя свои собствени цени и като правило издава цифров сертификат за една година с възможност за подновяване след плащане за следващата година.
За да се справят с проблемите със сигурността, компаниите за електронна търговия използват SSL и SET технология.
SSL протоколът е основният протокол, използван за защита на данните, предавани по интернет. Този протокол се основава на комбинация от асиметрични и симетрични алгоритми за криптиране. Той предоставя три основни функции: удостоверяване на сървъра, удостоверяване на клиента и SSL криптирана връзка.
Протоколът SET е протокол, използван за транзакции между търговски банки и клиенти на кредитни карти.

Всеки бизнес е свързан с рискове, произтичащи от конкуренция, кражби, нестабилност на обществените предпочитания, природни бедствия и др. Въпреки това, рисковете, свързани с електронната търговия, имат свои собствени характеристики и източници, включително:
Крадци.
Неспособност за привличане на другари.
Неизправности на оборудването.
Електрически, комуникационни линии или повреди в мрежата.
Зависимост от услугите за доставка.
Интензивна конкуренция.
Софтуерни грешки.
Промени в политиката и данъчното облагане.
Ограничен капацитет на системата.

Крадци
Най-популярната заплаха за електронната търговия идва от компютърни хакери. Всяко предприятие е обект на заплаха от атака от престъпници, а големите предприятия за електронна търговия привличат вниманието на компютърни хакери с различни нива на умения.
Причините за това внимание са различни. В някои случаи това е просто „чист спортен интерес“, в други желание да навредите, да откраднете пари или да закупите продукт или услуга безплатно.
Сигурността на сайта се осигурява чрез комбинация от следните мерки:
Архивирайте важна информация.
Политика за персонала, която ви позволява да привличате само съвестни хора за работа и да насърчавате съвестността на персонала. Най-опасните опити за хакване идват от компанията.
Използване на софтуер с възможности за защита на данните и своевременното му актуализиране.
Обучение на персонала за идентифициране на цели и разпознаване на слабостите на системата.
Одитиране и регистриране за откриване на успешни и неуспешни опити за хакване.
Обикновено хакването е успешно поради лесни за отгатване пароли, често срещани грешки в конфигурацията и неуспешно актуализиране на софтуерните версии навреме. За да се предпазите от не толкова изтънчен крадец, е достатъчно да вземете относително прости мерки. В краен случай винаги трябва да има резервно копие на критични данни.

Неспособност за привличане на другари
Докато хакерските атаки са най-голямото безпокойство, повечето провали в електронната търговия все още произтичат от традиционни икономически фактори. Създаването и маркетингът на голям сайт за електронна търговия изисква много пари. Компаниите предпочитат краткосрочни инвестиции, предлагащи незабавен растеж на клиентите и приходите, след като марката се установи на пазара.
Сривът на електронната търговия доведе до разоряването на много фирми, специализирани само в нея.

Неизправности на оборудването
Съвсем очевидно е, че отказът на важна част от един от компютрите на компания, чиято дейност е фокусирана върху Интернет, може да причини значителни щети на него.
Защитата срещу престой за сайтове, които работят под голямо натоварване или изпълняват важни функции, се осигурява чрез дублиране, така че отказът на който и да е компонент да не се отрази на функционалността на цялата система. И тук обаче е необходимо да се оценят загубите от евентуален престой в сравнение с разходите за закупуване на допълнително оборудване.
Много компютри, работещи с Apache, PHP и MySQL, са относително лесни за настройка. Освен това механизмът за репликация на MySQL позволява обща синхронизация на информацията между базите данни. Големият брой компютри обаче означава и високи разходи за поддръжка на оборудване, мрежова инфраструктура и хостинг.
Повреди в захранването, комуникационните линии, мрежата и услугите за доставка
Зависимостта от интернет означава зависимост от много взаимосвързани доставчици на услуги, така че ако връзката с останалия свят внезапно прекъсне, няма какво да направите, освен да изчакате тя да бъде възстановена. Същото важи за прекъсвания на електрозахранването и стачки или други прекъсвания на електрозахранването и стачки или други смущения на компанията за доставка.
Ако имате достатъчен бюджет, можете да работите с няколко доставчици на услуги. Това води до допълнителни разходи, но гарантира непрекъсната работа в случай на повреда на един от тях. Екстремните прекъсвания на електрозахранването могат да бъдат защитени чрез инсталиране на непрекъсваеми захранвания.

Интензивна конкуренция
Ако отворите павилион на улицата, оценката на конкурентната среда не е особено трудна - конкуренти ще бъдат всички, които продават същия продукт в полезрението. В случая с електронната търговия ситуацията е малко по-сложна.
В зависимост от разходите за доставка, валутните колебания и разликите в разходите за труд, конкурентите могат да се намират навсякъде. Интернет е силно конкурентна и бързо развиваща се среда. В популярните бизнес сектори почти всеки ден се появяват нови конкуренти.
Рискът от конкуренцията е труден за оценка. Тук най-правилната стратегия е да се поддържа текущото ниво на технологиите.

Софтуерни грешки
Когато бизнесът зависи от софтуера, той е уязвим от грешки в този софтуер.

Вероятността от критични повреди може да бъде сведена до минимум чрез инсталиране на надежден софтуер, тестване след всяка подмяна на дефектен хардуер и използване на официални процедури за тестване. Много е важно всички нововъведения в системата да бъдат придружени от задълбочено тестване.
За да намалите щетите, причинени от софтуерни повреди, трябва незабавно да архивирате всички данни. Когато правите промени, трябва да запазите предишните програмни конфигурации. За бързо откриване на възможни неизправности е необходим постоянен мониторинг на системата.

Промени в данъчната политика
В много страни електронните бизнес дейности не са дефинирани или не са достатъчно дефинирани от закона. Тази ситуация обаче не може да продължава вечно и разрешаването на проблема ще доведе до редица проблеми, които могат да доведат до закриване на някои предприятия. Освен това винаги съществува опасност от по-високи данъци.
Тези проблеми не могат да бъдат избегнати. В тази ситуация единственият разумен начин на действие би бил внимателно да се наблюдава ситуацията и да се приведат дейностите на предприятието в съответствие със закона. Трябва също да се проучи възможността за лобиране за собствените ви интереси.

Ограничен капацитет на системата
На етапа на проектиране на системата определено трябва да обмислите възможността за нейното разрастване. Успехът е неразривно свързан с натоварванията, така че системата трябва да позволява разширяване на оборудването.
Ограничени печалби в производителността могат да бъдат постигнати чрез подмяна на хардуер, но скоростта дори на най-модерния компютър има ограничение, така че софтуерът трябва да осигури възможност за разпределяне на натоварването между множество системи, когато определеното ограничение бъде достигнато. Например, системата за управление на база данни трябва да може да обработва заявки от множество машини едновременно.
Разширяването на системата не е безболезнено, но навременното планиране на етапа на разработка ви позволява да предвидите много проблеми, свързани с увеличаването на броя на клиентите, и да ги предотвратите предварително.

Заключение
Въпреки че свързването с интернет предоставя огромни ползи поради достъпа до колосално количество информация, то също е опасно за сайтове с ниски нива на сигурност. Интернет страда от сериозни проблеми със сигурността, които, ако бъдат игнорирани, могат да доведат до катастрофа за неподготвените сайтове. Грешките в дизайна на TCP/IP, сложността на администрирането на хоста, уязвимостите в програмите и редица други фактори заедно правят незащитените сайтове уязвими за действията на нападателите.
Организациите трябва да отговорят на следните въпроси, за да разгледат правилно последиците за сигурността на интернет свързаността:
Могат ли хакерите да разрушат вътрешни системи?
Възможно ли е важната информация на организацията да бъде компрометирана (променена или прочетена), докато се предава по интернет?
Възможно ли е да се намесва в работата на организацията?
Това са все важни въпроси. Има много технически решения за борба с големи проблеми със сигурността в Интернет. Всички те обаче си имат цена. Много решения ограничават функционалността с цел повишаване на сигурността. Други изискват значителни компромиси по отношение на лекотата на използване на Интернет. Трети пък изискват инвестиране на значителни ресурси – работно време за внедряване и поддържане на сигурността и средства за закупуване и поддръжка на оборудване и програми.
Целта на политиката за интернет сигурност е да реши как една организация ще се защити. Една политика обикновено се състои от две части - общи принципи и специфични правила за работа (които са еквивалентни на конкретната политика, описана по-долу). Общите принципи ръководят подхода към интернет сигурността. Правилата определят какво е разрешено и какво е забранено. Правилата могат да бъдат допълнени от специфични процедури и различни насоки.
Вярно е, че има трети тип политики, които се появяват в литературата за интернет сигурност. Това е технически подход. В тази публикация техническият подход ще се разбира като анализ, който помага за прилагането на принципите и правилата на политиката. Като цяло е твърде технически и сложен за разбиране от организационния мениджмънт. Следователно не може да се използва толкова широко като политика. Въпреки това, той е незаменим, когато се описват възможни решения, идентифицирайки компромиси, които са необходим елемент при описанието на политиката.
За да бъдат ефективни интернет политиките, политиците трябва да разберат компромисите, които ще трябва да направят. Тази политика също не трябва да противоречи на други ръководни документи на организацията. Тази публикация се опитва да предостави на техническите специалисти информацията, която те ще трябва да обяснят на политиците в Интернет. Той съдържа предварителен дизайн на политиката, въз основа на който след това могат да се вземат конкретни технически решения.
Интернет е важен ресурс, който промени начина, по който работят много хора и организации. Интернет обаче страда от сериозни и широко разпространени проблеми със сигурността. Много организации са били атакувани или изследвани от нападатели, което ги е накарало да претърпят тежки финансови загуби и да загубят своя престиж. В някои случаи организациите са били принудени временно да прекъснат връзката с интернет и са похарчили значителни суми пари за отстраняване на проблеми с хост и мрежови конфигурации. Сайтове, които не знаят или пренебрегват тези проблеми, се излагат на риск от онлайн атака от злонамерени участници. Дори онези сайтове, които са въвели мерки за сигурност, са изложени на същите опасности поради появата на нови уязвимости в мрежовите програми и постоянството на някои нападатели.
Основният проблем е, че Интернет не е проектиран да бъде защитена мрежа. Някои от проблемите му в текущата версия на TCP/IP са:
Лекотата на прихващане на данни и фалшифициране на адреси на машини в мрежата - по-голямата част от интернет трафика е некриптирани данни. Имейли, пароли и файлове могат да бъдат прихванати с помощта на лесно достъпни програми.
Уязвимост на TCP/IP инструменти - редица TCP/IP инструменти не са проектирани да бъдат сигурни и могат да бъдат компрометирани от опитни нападатели; инструментите, използвани за тестване, са особено уязвими.
Липса на политика - много сайтове са несъзнателно конфигурирани по такъв начин, че да предоставят широк достъп до себе си от Интернет, без да се отчита възможността за злоупотреба с този достъп; Много сайтове позволяват повече TCP/IP услуги, отколкото им е необходимо, за да работят, и не правят опити да ограничат достъпа до информация за своите компютри, която може да помогне на нападателите.
Трудни за конфигуриране – контролите за достъп до хоста са сложни; Често е трудно правилното конфигуриране и проверка на ефективността на инсталациите. Инструменти, които са неправилно конфигурирани по погрешка, могат да доведат до неоторизиран достъп.

Списък на използваната литература
1. Материали от сървъра за информационни технологии - http://www. citforum.ru
2. Какво е електронна търговия? В. Завалеев, Център за информационни технологии. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Кантарович А.А., Царев В.В. Учебници за ВУЗ: Електронна търговия 2002, 320стр.

| Към списъка с публикации

Осигуряване на информационна сигурност на търговските предприятия, търговските мрежи и тяхната инфраструктура

Съвременните тенденции в развитието на търговията в Русия водят до консолидация на компании чрез увеличаване на броя на предприятията в техния състав, консолидиране на активите на различни оператори, извършване на сливания и придобивания и създаване на мрежови дистрибуторски центрове. В резултат на това нарастват изискванията към информационните технологии и тяхното значение в организирането на търговията. Обработката на информационни потоци във всяка компания изисква висока скорост и абсолютна точност.

Фиг. 1.Основните информационни потоци, циркулиращи в системата за управление на мрежова компания

Управлението на модерен магазин, търговско предприятие на едро и дистрибуторска мрежа включва използването на автоматизирани системи за интегрирана търговия, склад и счетоводство. Днес мениджърите вземат управленски решения въз основа на данни, получени от информационните системи. По този начин, каквато и да е структурата на компанията, отчитането на договорите, движението на материалните запаси, паричните средства и счетоводството трябва да се извършват в единно информационно пространство.

За да се автоматизира управлението на търговския процес, в предприятието се създава информационна система, която може да включва:

Данните в информационната система идват от персонала на компанията и от офис системите на дистрибуторите. В бъдеще те се използват за оперативно управление на предприятието, контрол и анализ на дейността на компанията като цяло, регионални офиси и дистрибутори. Потребители на данни от информационната мрежа са мениджъри и ръководители на компанията и дистрибутори. Фигури 1 и 2 показват основните информационни потоци, циркулиращи в системата за управление на търговско предприятие (търговска мрежа), като показват основните им източници и потребители.

За вземане на стратегически управленски решения е наложително ръководителят на предприятието, финансовият директор, главният счетоводител и висшите мениджъри да представят пълна картина на състоянието на предприятието и тенденциите в неговото развитие (фиг. 1.).

На работните си места в счетоводния отдел, на търговския етаж, в склада работниците се занимават само с отделни фрагменти от общия информационен поток. Техните задачи и функции, като правило, се свеждат до обработка и записване на получаване и потребление на стоки, издаване на фактури, работа на касов апарат и др. (фиг. 2.).

Имайки предвид рисковете на търговските предприятия и уязвимостта на информационните системи, изглежда безотговорно да се възприема подход, при който компанията реагира на събития постфактум, т.е. след като се случат. От това следва, че компанията трябва да създаде система за информационна сигурност. Той е един от основните елементи на системата за управление.

Спирането на работата на една информационна система може да доведе до необратими последици за бизнеса. Така според застрахователната компания Gerling, ако информационната система бъде напълно спряна, търговските дружества могат да съществуват само 2,5 дни,а за производствени предприятия без непрекъснат производствен цикъл тази цифра е 5 дни.

Изходните данни за създаване на ефективна система за информационна сигурност трябва да бъдат ясни идеи за нейните цели и структура, видовете заплахи и техните източници и възможните противодействия.

Източниците на заплахи могат да бъдат външни и вътрешни.

Фиг.2.Система за обмен на данни за служители на различни отдели на търговско предприятие или търговска верига

Външни заплахинай-често идват от конкуренти, престъпни групи и корумпирани служители в правните и административни органи. Действията на външните заплахи могат да бъдат насочени към пасивни носители за съхранение, премахване на информация по време на процеса на обмен, унищожаване на информация или повреда на нейните носители за съхранение. Заплахите могат да бъдат насочени към персонала на компанията и да се изразят под формата на подкупи, заплахи, изнудване, извличане на информация с цел получаване на информация, представляваща търговска тайна, или да включват примамване на водещи специалисти и др.

Вътрешни заплахипредставляват най-голямата опасност. Те могат да идват от некомпетентни ръководители, безскрупулен и неквалифициран персонал, злоупотреби и измамници, остарели средства за производство. Индивидуални служители с високо ниво на самочувствие, поради неудовлетвореност от техните амбиции (ниво на заплата, взаимоотношения с ръководството, колеги и т.н.), могат проактивно да раздават търговска информация на конкуренти, да се опитват да унищожат важна информация или пасивни медии, за например въведете компютърен вирус.

Повредата на информационните ресурси може да бъде причинена от:

Основните източници на информация са:хора, документи, публикации, технически носители, технически средства, продукти и отпадъци.

Основните начини за получаване на неоторизирана информация са:

Уместността на проблема с предприемането на мерки за осигуряване на информационна сигурност може да се илюстрира със следните примери:

По този начин бизнес лидерите трябва да разберат значението на информационната сигурност и да се научат да предвиждат и управляват бъдещите тенденции. Ефективната работа на системите за сигурност трябва да бъде основен приоритет за цялото предприятие.

Основни области на защита на информацията:

Изпълнението на програма за информационна сигурност трябва да се извършва на базата на интегрирано използване на системи и инструменти за сигурност въз основа на предпоставката, че е невъзможно да се осигури необходимото ниво на сигурност, като се използва само един отделен инструмент или мярка или проста комбинация от тях. Необходима е системната им координация. В този случай изпълнението на всяка заплаха може да засегне защитения обект само ако са преодолени всички нива на защита.

Сигурността на всяка система за електронна търговия като цяло се състои в защита от различни видове намеса в нейните данни. Всички тези интервенции могат да бъдат разделени на няколко категории:

· кражба на данни (например кражба на номера на кредитни карти от база данни);

· смущения (например претоварване с данни на сайт, който не е предназначен за толкова голямо количество информация);

· изкривяване на данни (например промяна на суми във файлове с плащания и фактури или създаване на несъществуващи сертификати или сайтове за изпомпване на информация, отиваща към конкретен сайт);

· унищожаване на данни (например при предаване от сайта или към сайта от потребителя);

· отказ от предприетите действия (например от факта на подаване на поръчка или получаване на стоките);

· неумишлено злоупотреба със съоръженията на сайта от добросъвестен потребител;

· неоторизиран достъп до информация:

· неоторизирано копиране, актуализиране или друго използване на данни;

· неразрешени транзакции;

· неоторизирано разглеждане или предаване на данни (например показване на истински имена на посетители вместо прякори в чат или форум).

В същото време не може да не се вземе предвид, че по въпросите на сигурността в тази област има редица обективни проблеми от правно естество - технологиите се развиват много по-бързо от законодателната рамка, трудно е да се хване нападател в актът на престъпление, а доказателствата и следите от престъпления могат лесно да бъдат унищожени без следа. Всичко това налага компаниите внимателно да разработят политика за защита на своя електронен бизнес. Пълната и абсолютна сигурност е недостижима, тъй като системите за електронен бизнес са изградени върху множество готови и персонализирани софтуерни приложения от различни доставчици и значителен брой външни услуги, предоставяни от доставчици на услуги или бизнес партньори. Значителна част от тези компоненти и услуги обикновено са непрозрачни за ИТ специалистите на компанията клиент, освен това много от тях често се модифицират и подобряват от своите създатели. Невъзможно е всички те да бъдат щателно проверени за потенциални дефекти в сигурността, а още по-трудно е да се отстранят всички тези дефекти. И дори това да беше възможно, така нареченият човешки фактор не може да бъде изключен, тъй като всички системи се създават, променят и управляват от хора, а според изследване на Института за компютърна сигурност 81% от анкетираните отбелязват, че най-голяма загриженост за компаниите е вътрешната заплаха – умишлени или неумишлени действия на собствените служители.

Има два аспекта на проблема за защита срещу вътрешни заплахи: технически и организационен. Техническият аспект е желанието да се елиминира всяка възможност за неоторизиран достъп до информация. За тази цел се използват такива добре познати средства като:

поддържане на пароли и редовната им смяна; предоставяне на минималните права, необходими за администриране на системата;

Наличие на стандартни процедури за навременна промяна на групата за достъп по време на промени в персонала или незабавно унищожаване на достъпа при уволнение на служител.

Организационният аспект е да се разработи рационална вътрешна политика за сигурност, която превръща в рутинни операции такива рядко използвани методи за защита и предотвратяване на хакерски атаки от компании като:

· въвеждане на обща култура на безопасност във фирмата;

· тестване на софтуер за хакване;

· проследяване на всеки опит за хакване (без значение колко успешен е) и щателното му разследване;

· годишно обучение на персонала по въпросите на сигурността и киберпрестъпността, включително информация за конкретни признаци на хакерски атаки, за да се увеличи максимално броят на служителите, които имат способността да откриват такава дейност;

· въвеждане на ясни процедури за справяне със случаи на неволна промяна или унищожаване на информация.

За защита срещу външно проникване днес има много системи, които по същество са различни видове филтри, които помагат да се идентифицират опитите за хакване на ранните етапи и, ако е възможно, да се предотврати навлизането на нападател в системата през външни мрежи.

· рутери - устройства за управление на мрежовия трафик, разположени между мрежи от втори ред и управляващи входящия и изходящия трафик на мрежовите сегменти, свързани към него;

· защитни стени – средства за изолиране на частни мрежи от обществени мрежи с помощта на софтуер, който следи и потиска външни атаки към сайта, използвайки определен контрол върху видовете заявки;

шлюзовете за приложения са средствата, чрез които мрежовият администратор прилага политиката за сигурност, която ръководи рутери, които извършват филтриране на пакети;

· Системи за откриване на проникване (IDS) - системи, които откриват умишлени атаки и неволно злоупотреба със системни ресурси от потребителите;

· инструменти за оценка на сигурността (специални скенери и др.) – програми, които редовно сканират мрежата за проблеми и тестват ефективността на въведената политика за сигурност.

Като цяло, първото нещо, което една компания трябва да направи, е да разбере какво трябва да бъде защитено и от кого. Основните играчи в тази сфера са акционерите, потребителите, служителите и бизнес партньорите на компанията, като за всеки от тях е необходимо да се разработи собствена схема за защита. Всички изисквания за сигурност трябва да бъдат документирани, за да служат като ръководство за всички внедрявания на приложения за електронна търговия и техните мерки за сигурност в различните бизнес направления на компанията. В допълнение, това ще ви позволи да създадете отделен бюджет за обслужване на проблемите със сигурността в компанията и да оптимизирате разходите за тези нужди, като елиминирате дублирането на всякакви проблеми със сигурността при разработването на всеки отделен бизнес проект.

За съжаление днешната практика е такава, че политиката за сигурност е оставена на ръководството на ИТ отдела, чиито служители смятат, че технологичните въпроси са по-важни от някакви „хартиени“ инструкции и освен това не са специалисти в определени области на бизнеса които също изискват ясни процедури за защита в компанията.

В допълнение, при сдвояване на различен софтуер могат да възникнат специфични проблеми, които не са известни на производителите на всеки от интегрираните продукти. Изследванията на такива взаимодействия трябва да предхождат всякакви технологични и бюджетни решения. И досега твърде малко внимание е обърнато на това.

Има няколко вида заплахи за електронна търговия:

Проникване в системата отвън.

Неоторизиран достъп в рамките на компанията.

Умишлено прихващане и четене на информация.

Умишлено прекъсване на данни или мрежи.

Неправилна (за измамни цели) идентификация на потребителя.

Хакерска хардуерна и софтуерна защита.

Неоторизиран потребителски достъп от една мрежа в друга.

Вирусни атаки.

Отказ на услуга.

Финансова измама.

За противодействие на тези заплахи се използват редица методи, базирани на различни технологии, а именно: криптиране – кодиране на данни, което предотвратява тяхното четене или изкривяване; цифрови подписи, които удостоверяват самоличността на подателя и получателя; стелт технологии, използващи електронни ключове; защитни стени; виртуални и частни мрежи.

Нито един метод за защита не е универсален; например защитните стени не проверяват за вируси и не са в състояние да гарантират целостта на данните. Няма абсолютно надежден начин за противодействие на хакването на автоматичната защита и е само въпрос на време тя да бъде хакната. Но времето, необходимо за разрушаването на такава защита, от своя страна зависи от нейното качество. Трябва да се каже, че софтуерът и хардуерът за защита на връзките и приложенията в Интернет са разработени от дълго време, въпреки че новите технологии се въвеждат малко неравномерно.

Какви заплахи очакват компания, извършваща електронна търговия на всеки етап:

Подмяна на уеб страницата на сървъра на електронния магазин (пренасочване на заявки към друг сървър), предоставяне на информация за клиента, особено за неговите кредитни карти, на трети лица;

Създаване на фалшиви поръчки и различни форми на измама от страна на служители на електронен магазин, например манипулиране на бази данни (статистиката показва, че повече от половината компютърни инциденти са свързани с дейността на техните собствени служители);

Прихващане на данни, предавани през мрежи за електронна търговия;

Проникване на нападатели във вътрешната мрежа на компанията и компрометиране на компоненти на електронен магазин;

Осъществяване на атаки за отказ на услуга и прекъсване на функционирането или деактивиране на възел за електронна търговия.

В резултат на прилагането на такива заплахи компанията губи доверието на клиентите, губи пари от потенциални и/или несъвършени транзакции, нарушава се дейността на електронния магазин и изразходва време, пари и човешки ресурси за възстановяване на функционирането.

Разбира се, заплахите, свързани с прихващането на информация, предавана чрез интернет, не се ограничават само до сектора на електронната търговия. От особено значение във връзка с последното е фактът, че неговите системи съдържат информация с голямо икономическо значение: номера на кредитни карти, номера на сметки, съдържание на договори и др.

Осигуряване на електронната търговия

Осигуряването на сигурност е не само необходимо условие за успешен електронен бизнес, но и основа за доверителни отношения между контрагентите. Самата същност на електронния бизнес включва активен обмен на информация и транзакции през незащитена публична мрежа, които са просто невъзможни без доверителни отношения между бизнес субектите. Следователно осигуряването на сигурност е сложно, включително задачи като достъп до уеб сървъри и уеб приложения, удостоверяване и оторизация на потребители, гарантиране на целостта и поверителността на данните, прилагане на електронни цифрови подписи и др.

С нарастващата комерсиализация на Интернет се обръща все повече внимание на защитата на информацията, предавана по мрежата. Специализираните протоколи, предназначени да организират сигурно взаимодействие чрез Интернет (например SET, SOCKS5, SSL, SHTTP и др.), Получиха широко признание в целия свят и се използват успешно от чуждестранни разработчици за създаване на интернет базирани електронни системи за банкиране и търговия.

В чужбина проблемът с информационната сигурност на електронния бизнес се решава от независим консорциум - Internet Security Task Force (ISTF) - обществена организация, състояща се от представители и експерти на компании, които доставят инструменти за информационна сигурност, електронен бизнес и интернет услуги доставчици.

ISTF идентифицира дванадесет области на информационна сигурност, които трябва да бъдат основният фокус на вниманието. организатори на електронен бизнес:

Механизъм за обективно потвърждаване на идентифицираща информация;

Право на лична, лична информация;

Дефиниране на събития за сигурност;

Защита на корпоративния периметър;

Определение за атаки;

Контрол на потенциално u1086 опасно съдържание;

Контрол на достъпа;

администрация;

Реакция на събития.

Известно е, че използването на алгоритми за електронен цифров подпис (EDS) позволява надеждна защита срещу много заплахи, но това е вярно само ако тези алгоритми са вплетени в добре обосновани протоколи за взаимодействие, правно правилна структура на взаимоотношения и логически затворен система на доверие.

Информационната сигурност се основава на простата логика на процесите на изчисляване на цифров подпис и проверката му с чифт съответни ключове, но логиката се основава на фундаментални математически изследвания. Само собственикът на частния ключ може да изчисли цифров подпис и всеки, който има публичен ключ, съответстващ на частния ключ, може да го провери.

Разбира се, специалистите в тази област трябва да участват в осигуряването на информационната сигурност, но ръководителите на държавни органи, предприятия и институции, независимо от тяхната форма на собственост, които отговарят за икономическата сигурност на определени икономически субекти, трябва постоянно да държат тези въпроси в тяхното зрително поле. За тях по-долу са основните функционални компоненти на организирането на цялостна система за информационна сигурност:

Комуникационни протоколи;

Инструменти за криптография;

Инструменти за контрол на достъп до работни станции от обществени мрежи;

Антивирусни комплекси;

Програми за откриване и одит на атаки;

Инструменти за централизирано управление на контрола на потребителския достъп, както и сигурен обмен на пакети данни и съобщения на всякакви приложения през отворени мрежи.

Интернет отдавна има редица комисии, предимно доброволчески организации, които внимателно ръководят предлаганите технологии през процеса на стандартизация. Тези комитети, които съставляват по-голямата част от Internet Engineering Task Force (IETF), са стандартизирали няколко важни протокола, ускорявайки приемането им в Интернет.

Протоколи като фамилията TCP/IP за комуникации на данни, SMTP (прост протокол за транспортиране на поща) и POP (протокол за пощенски офис) за имейл и SNMP (прост протокол за управление на мрежата) за управление на мрежата са пряк резултат от усилията на IETF. Видът на използвания продукт за сигурност зависи от нуждите на компанията.

Защитените протоколи за предаване на данни са популярни в Интернет, а именно SSL, SET, IP v.6. Изброените протоколи се появиха в Интернет сравнително наскоро, като необходимост за защита на ценна информация, и веднага станаха де факто стандарти.

За съжаление, в Русия те все още са много предпазливи относно възможността за въвеждане на интернет в онези области на дейност, които са свързани с

трансфер, обработка и съхранение на поверителна информация. Подобен

Предпазливостта се обяснява не само с консерватизма на местните финансови структури, които се страхуват от отвореността и достъпността на Интернет, но отчасти и от факта, че повечето софтуери за информационна сигурност от западни производствени компании навлизат на нашия пазар с ограничения за износ по отношение на внедрените в тях криптографски алгоритми. Например в експортираните версии на софтуер за WWW сървъри и браузъри от производители като Microsoft и Netscape Communications има ограничения за дължината на ключа за алгоритми за шифроване с един ключ и двоен ключ, използвани от SSL протокола, който не осигурява пълно защита при работа в Интернет.

Приложенията за електронна търговия обаче, в допълнение към вътрешните заплахи, са податливи и на външни заплахи, произтичащи от Интернет. И тъй като е нерационално да се присвоява отделен идентификатор за влизане на всеки анонимен посетител (тъй като приложението не се разраства), компаниите трябва да използват различен тип удостоверяване. Освен това е необходимо да се подготвят сървъри за отблъскване на атаки. И накрая, трябва да бъдете изключително внимателни с чувствителни данни, като например номера на кредитни карти.

Криптиране на данни

Бизнес уебсайтът обработва чувствителна информация (като номера на потребителски кредитни карти). Предаването на такава информация по интернет без никаква защита може да доведе до непоправими последици. Всеки може да подслушва предаването и така да получи достъп до поверителна информация. Следователно данните трябва да бъдат криптирани и предадени по защитен канал. За осъществяване на защитен трансфер на данни се използва протоколът Secure Sockets Layer (SSL).

За да приложите тази функционалност, трябва да закупите цифров сертификат и да го инсталирате на вашия сървър(и). Можете да кандидатствате за цифров сертификат от един от сертифициращите органи. Добре известни организации за търговско сертифициране включват: VerySign, CyberTrust, GTE.

SSL е схема за протоколи като HTTP (наричан HTTPS, когато е защитен), FTP и NNTP. Когато използвате SSL за пренос на данни:

Данните са криптирани;

Установена е защитена връзка между сървъра източник и сървъра местоназначение;

Удостоверяването на сървъра е активирано.

Когато потребител изпрати номер на кредитна карта чрез SSL, данните незабавно се криптират, така че хакерът да не може да види съдържанието им. SSL е независим от мрежовия протокол.

Сървърният софтуер на Netscape също осигурява удостоверяване - сертификати и цифрови подписи - удостоверяващи самоличността на потребителя и целостта на съобщението и гарантирайки, че съобщението не е променило своя маршрут.

Удостоверяването включва потвърждаване на самоличността и цифровия подпис на потребителя, за да се провери автентичността на документите, участващи в обмена на информация и финансовите транзакции. Цифровият подпис е данни, които могат да бъдат прикачени към документ, за да се предотврати фалшификация.

Засичане на проникване

Системите за откриване на проникване (IDS) могат да идентифицират модели или следи от атаки и да генерират аларми за

предупреждават операторите и насърчават рутерите да прекратяват връзките към източници на незаконно проникване. Тези системи могат също така да предотвратят опити за причиняване на отказ на услуга.

Описание на работата

Целта на тази работа е да проучи концепцията за електронна търговия и да разгледа въпросите на информационната сигурност на електронната търговия.
Задачи:
- дефиниране на електронната търговия;
- разгледа основните му елементи, видове, положителни и отрицателни страни;
- разгледайте основните видове заплахи и основните начини за гарантиране на сигурността на електронната търговия.

Информационна сигурност на електронната търговия (EC)

Броят на интернет потребителите достигна няколкостотин милиона и се появи ново качество под формата на „виртуална икономика“. При него покупките се извършват през сайтове за пазаруване, като се използват нови бизнес модели, собствена маркетингова стратегия и т.н.

Електронната търговия (EC) е бизнес дейност за продажба на стоки през Интернет. По правило има две форми на ЕК:

* търговия между предприятията (business to business, B2B);

* търговия между предприятия и физически лица, т.е. потребители (бизнес към потребител, B2C).

ЕО породи нови концепции като:

* Електронен магазин - витрини и системи за търговия, които се използват от производители или търговци, когато има търсене на стоки.

* Електронен каталог – с богат асортимент от продукти на различни производители.

* Електронният аукцион е аналог на класически аукцион, използващ Интернет технологии, с характерна връзка с мултимедиен интерфейс, канал за достъп до Интернет и показване на характеристиките на продукта.

* Електронният универсален магазин е аналог на обикновен универсален магазин, където обикновените компании показват стоките си с ефективна продуктова марка (Gostiny Dvor, GUM и др.).

* Виртуални общности (общности), в които купувачите са организирани по групи по интереси (фен клубове, асоциации и др.).

Интернет в областта на ЕК носи значителни ползи:

* спестяванията за големи частни компании от прехвърляне на покупки на суровини и компоненти към интернет борси достигат 25 - 30%;

* участието в аукциона на конкурентни доставчици от цял свят в реално време води до намаляване на програмираните от тях цени за доставка на стоки или услуги;

* повишаване на цените на стоките или услугите в резултат на конкуренцията на купувачи от цял свят;

* спестявания чрез намаляване на необходимите служители и обема на документацията.

Доминираща позиция в ЕК в западните страни стана B2B секторът, който до 2007 г. според различни оценки ще достигне от 3 до 6 трлн. долара. Първите, които се възползваха от прехвърлянето на бизнеса си в Интернет, бяха компаниите, продаващи хардуер и софтуер и предоставящи компютърни и телекомуникационни услуги.

Всеки онлайн магазин включва две основни компоненти:

електронна витрина и система за търговия.

Електронната витрина съдържа информация за стоките, продавани на уеб сайта, осигурява достъп до базата данни на магазина, регистрира клиенти, работи с електронната „кошница“ на купувача, прави поръчки, събира маркетингова информация и предава информация към системата за търговия.

Търговската система доставя стоките и обработва плащането за тях. Системата за търговия е съвкупност от магазини, собственост на различни компании, които наемат място на уеб сървър, собственост на отделна компания.

Технология за работа на онлайн магазинакакто следва:

Купувачът избира желания продукт от електронна витрина с каталог на стоки и цени (уеб сайт) и попълва формуляр с лични данни (трите имена, пощенски и имейл адрес, предпочитан начин за доставка и плащане). Ако плащането се извършва чрез интернет, тогава се обръща специално внимание на информационната сигурност.

Прехвърляне на готови стоки към търговската система на онлайн магазина,

където е завършена поръчката. Системата за търговия работи ръчно или автоматично. Ръчната система работи на принципа на Posyltorg, когато е невъзможно да се закупи и настрои автоматизирана система, като правило, когато обемът на стоките е малък.

Доставка и плащане на стоки. Стоката се доставя на купувача

по един от възможните начини:

* магазин с куриер в рамките на града и околностите;

* специализирана куриерска услуга (включително от чужбина);

* Вдигни;

* такава специфична информация се доставя чрез телекомуникационни мрежи

продукт като информация.

Плащането на стоките може да се извърши по следните начини:

* предварително или в момента на получаване на стоката;

* в брой до куриер или при посещение в реален магазин;

* с пощенски превод;

* Банкова транзакция;

* наложен платеж;

* използване на кредитни карти (VISA, MASTER CARD и др.);

чрез електронни разплащателни системи чрез индивидуална реклама

банки (ТЕЛЕБАНК, АСИСТ и др.).

Напоследък електронната търговия или търговията през интернет се развива доста бързо в света. Естествено, този процес

се осъществява с прякото участие на финансови институции. И този метод на търговия става все по-популярен, поне там, където новият електронен пазар може да се използва от голяма част от бизнеса и населението.

Търговските дейности в електронните мрежи премахват някои физически ограничения. Фирми, свързващи своите компютърни системи към

Интернет, са в състояние да предоставят на клиентите поддръжка 24 часа в денонощието без празници и почивни дни. Поръчки за продукти могат да се приемат по всяко време от всяко място.

Тази „монета“ обаче има и друга страна. В чужбина, където електронната търговия е най-широко развита, транзакциите или цената на стоките често се ограничава до 300-400 $. Това се дължи на недостатъчното решение на проблемите с информационната сигурност в компютърните мрежи. Според Комитета на ООН за предотвратяване и контрол на престъпността компютърните престъпления са достигнали нивото на един от международните проблеми. В САЩ този вид престъпна дейност е на трето място по доходност след трафика на оръжия и наркотици.

Обемът на световния оборот от електронната търговия през Интернет през 2006 г.

Според прогнози на Forrester Tech., той може да варира от 1,8 до 2 трилиона. долара Такъв широк прогнозен диапазон се определя от проблема за осигуряване на икономическата сигурност на електронната търговия. Ако нивата на сигурност останат на сегашните нива, световният оборот от електронната търговия може да бъде още по-малък. От това следва, че именно ниската сигурност на системата за електронна търговия е ограничаващ фактор за развитието на електронния бизнес.

Решаването на проблема с осигуряването на икономическата сигурност на електронната търговия е свързано преди всичко с решаването на въпросите за защита на информационните технологии, използвани в нея, тоест осигуряване на информационна сигурност.

Интегрирането на бизнес процесите в интернет среда води до фундаментална промяна в ситуацията със сигурността. Създаването на права и отговорности въз основа на електронен документ изисква цялостна защита от целия набор от заплахи, както на подателя на документа, така и на неговия получател. За съжаление, мениджърите на предприятията за електронна търговия надлежно осъзнават сериозността на информационните заплахи и важността на организирането на защитата на техните ресурси едва след като последните са обект на информационни атаки. Както можете да видите, всички изброени пречки се отнасят до областта на информационната сигурност.

Основните изисквания за извършване на търговски транзакции включват поверителност, цялост, удостоверяване, оторизация, гаранции и секретност.

При постигане на сигурност на информацията, гарантирането на нейната наличност, поверителност, цялост и правна значимост са основен задачи . Всяка заплаха трябва да се разглежда от гледна точка на това как може да засегне тези четири свойства или качества на защитената информация.

Конфиденциалностозначава, че информацията с ограничен достъп трябва да бъде достъпна само за тези, за които е предназначена. Под интегритетинформацията се разбира като нейното свойство да съществува в неизкривен вид. Наличностинформация се определя от способността на системата да осигури своевременен, безпрепятствен достъп до информация на субекти, които имат съответните правомощия за това. Правно значениеинформацията стана важна напоследък, заедно със създаването на нормативна база за информационна сигурност у нас.

Ако първите четири изисквания могат да бъдат изпълнени с технически средства, то изпълнението на последните две зависи както от техническите средства, така и от отговорността на лицата и организациите, както и от спазването на законите, които защитават потребителите от възможни измами от страна на продавачите.

Като част от осигуряването на цялостна информационна сигурност, на първо място е необходимо да се подчертае ключът проблеми в областта на електронната сигурност бизнес които включват:

защита на информацията при предаването й по комуникационни канали; защита на компютърни системи, бази данни и електронен документооборот;

осигуряване на дългосрочно съхранение на информация в електронен вид; осигуряване на сигурност на транзакциите, конфиденциалност на търговската информация, автентификация, защита на интелектуалната собственост и др.

Има няколко вида заплахи за електронна търговия:

 Проникване в системата отвън.

 Неоторизиран достъп в рамките на компанията.

 Умишлено прихващане и разчитане на информация.

 Умишлено прекъсване на данни или мрежи.

 Неправилна (за измамни цели) идентификация

потребител.

 Хакване на софтуерна и хардуерна защита.

 Неоторизиран потребителски достъп от една мрежа в друга.

 Вирусни атаки.

 Отказ от услуга.

 Финансова измама.

Който заплахи чакат компания за електронна търговия на всеки етап :

 подмяна на уеб страницата на сървъра на електронния магазин (пренасочване на заявки към друг сървър), предоставяне на информация за клиента, особено за кредитните му карти, на трети лица;

 създаване на фалшиви поръчки и различни форми на измама от страна на служители на електронен магазин, например манипулиране на бази данни (статистиката показва, че повече от половината компютърни инциденти са свързани с дейността на техните собствени служители);

 прихващане на данни, предавани през мрежи за електронна търговия;

 проникване на нападатели във вътрешната мрежа на компанията и компрометиране на компоненти на електронен магазин;

Популярен

Моята къща мечта презентация към урок по темата

« 1. Обосновка на възникналия проблем и необходимост. Винаги съм мечтал да имам собствен дом. И за това започнах да мисля как и от какво може да се изгради.... »

Какво причинява диария при гъски и как да се лекува

« Кира Столетова Често срещано явление във фермата, диарията при гъските изисква специално внимание от хората. Бяла диария или тъмни изпражнения... »

Какво е да работиш в компании като H&M, Pull&Bear, Bershka?

« Групата Inditex включва 8 марки: Zara, Pull&Bear, Massimo Dutti, Bershka, Stradivarius, Oysho, Zara Home и Uterqüe. Имаме повече от 6700 магазина в... »