Infoturve e-kaubanduse süsteemides. "Elektroonilise kaubanduse turvalisus. Infokaitse põhisuunad

Sissejuhatus…………………………………………………………………………..…3
1. Elektrooniline kaubandus ja selle arengulugu……………………………………………………………………………
1.1. E-kaubanduse ajalugu…………………………………………………………6
2. E-kaubanduse turvalisus…………………………………………..8
2.1. Riskid ja ohud………………………………………………………………………11
Järeldus………………………………………………………………………….17
Kasutatud kirjanduse loetelu…………………………………………………………………………………………………………………………………………………………………………………………………………

Sissejuhatus

Globaalne Internet on muutnud e-kaubanduse kättesaadavaks igas suuruses ettevõtetele. Kui varem nõudis elektroonilise andmevahetuse korraldamine märkimisväärseid investeeringuid sideinfrastruktuuri ja oli teostatav vaid suurettevõtetele, siis tänapäeval võimaldab Interneti kasutamine väikefirmadel liituda “elektroonikakauplejate” ridadega. Elektrooniline kauplus World Wide Web annab igale ettevõttele võimaluse meelitada ligi kliente üle kogu maailma. Selline online-äri moodustab uue müügikanali - "virtuaalse", mis ei nõua peaaegu mingeid materiaalseid investeeringuid. Kui teavet, teenuseid või tooteid (näiteks tarkvara) on võimalik tarnida veebi kaudu, võib kogu müügiprotsess (sh tasumine) toimuda veebis.
E-kaubanduse definitsioon ei hõlma ainult Internetile orienteeritud süsteeme, vaid ka "elektroonikapoode", mis kasutavad muid suhtluskeskkondi - BBS, VAN jne. Samas saab e-kaubanduseks liigitada vaid osaliselt WWW-st pärit info põhjal algatatud müügitoimingud, mis kasutavad andmevahetuseks faksi, telefoni vms. Samuti märgime, et vaatamata sellele, et WWW on e-kaubanduse tehnoloogiline alus, kasutavad mitmed süsteemid ka muid suhtlusvõimalusi. Seega saab müüjale sooviavaldusi toote parameetrite täpsustamiseks või tellimuse esitamiseks saata ka meili teel.
Tänapäeval on internetiostude puhul domineerivaks maksevahendiks krediitkaardid. Kuid mängudele tulevad ka uued maksevahendid: kiipkaardid, digitaalne sularaha, mikromaksed ja elektroonilised tšekid.
E-kaubandus ei hõlma ainult veebipõhiseid tehinguid. Antud kontseptsiooniga hõlmatud valdkond peab hõlmama ka selliseid tegevusi nagu turundusuuringute läbiviimine, võimaluste ja partnerite väljaselgitamine, suhete hoidmine tarnijate ja tarbijatega, dokumendivoo korraldamine jne. Seega on e-kaubandus kompleksne mõiste ja hõlmab elektroonilist andmevahetust ühena. komponentidest.

E-kaubandus ja selle kujunemislugu

E-kaubandus on majandustegevuse liik, mille eesmärk on kaupade ja teenuste reklaamimine tootjatelt tarbijateni elektrooniliste arvutivõrkude kaudu. Teisisõnu, e-kaubandus on kaupade ja teenuste turundamine, omandamine ja müük arvutivõrkude, peamiselt Interneti kaudu. E-kaubandus annab uusi võimalusi äritegevuse tõhustamiseks üldiselt.
Erinevalt traditsioonilisest kaubandusest pakub e-kaubandus ettevõtetele järgmisi võimalusi:
A) müüa oma tooteid Interneti kaudu;
B) arendada ja koordineerida suhteid tarbijate ja tarnijatega;
B) vahetada kaupu ja teenuseid elektrooniliselt;
D) vähendada digitaalsete toodete kohaletoimetamise ja müügijärgse klienditoe hinda;
D) kiiresti reageerida turumuutustele;
E) Vähendada üldkulusid;
G) parandada klienditeenindust ja tutvustada klientidele oma teenuseid;
H) Tarbijate ringi laiendamine;
I) Võtke arvesse ostja individuaalseid vajadusi;
E-kaubandus võimaldab ostjatel:
A) Ostke kaupu igal ajal ja igal pool;
B) Viia läbi hindade võrdlev analüüs ja valida parim;
C) saada samaaegne juurdepääs paljudele toodetele;
D) Valige ostude sooritamiseks mugavad mehhanismid;
D) Saate teavet ja uudiseid sõltuvalt teie eelistustest.
1.1 E-kaubanduse ajalugu

Esimesed e-kaubanduse süsteemid ilmusid 1960. aastatel USA-s. Neid kasutati transpordiettevõtetes erinevate teenuste vaheliseks andmevahetuseks lendude ettevalmistamisel ja piletite broneerimisel.
Esialgu kasutati sellist kaubandust väljaspool Internetti asuvate võrkude abil, kasutades organisatsioonidevaheliseks elektrooniliseks andmevahetuseks spetsiaalseid standardeid.
1960. aastate lõpuks kehtis Ameerika Ühendriikides erinevate transpordiettevõtete vahelise andmevahetuse jaoks neli tööstusstandardit. Nende standardite ühendamiseks loodi 1968. aastal spetsiaalne transpordiandmete ühtlustamise komitee. töö tulemused olid uue EDI standardi aluseks.
1970. aastatel toimusid sarnased sündmused Inglismaal. Selles riigis ei olnud EDI peamine rakendusvaldkond transport, vaid kaubandus. Siin valitud Tradacomi spetsifikatsioonide komplekti on ÜRO Euroopa Majanduskomisjon vastu võtnud rahvusvaheliste kaubandusorganisatsioonide andmevahetuse standardina.
1980. aastatel hakati Euroopa ja Ameerika standardeid ühendama. Selle töö tulemusena võeti 1996. aasta septembris toimunud rahvusvahelise kaubanduse hõlbustamise töörühma 42. istungjärgul vastu soovitus nr 25 "ÜRO elektroonilise andmevahetuse standardi kasutamine halduses, kaubanduses ja transpordis".
Seega. 1990. aastate alguses tekkis EDI-FACT standard, mille ISO (ISO 9735) võttis vastu.
Kuid Ameerika ja Euroopa standardite lõplikku ühendamist ei toimunud. Elektrooniliseks andmevahetuseks on tekkinud uus paljulubavam võimalus – andmevahetus Interneti kaudu.
Interneti areng koos madalate andmeedastuskuludega on muutnud EDI-süsteemide moderniseerimise kiireloomuliseks. Selle tulemusena töötati 1990. aastate keskel välja teine ​​standard – EDIFACT over Internet (EDIINT), mis kirjeldab, kuidas edastada EDI tehingut SMTP/S-MIME turvaliste meiliprotokollide abil.
E-kaubanduse populaarsuse tekkimiseks ja kasvuks on mitmeid demograafilisi ja tehnoloogilisi eeldusi, näiteks:
a) laialdane juurdepääs infotehnoloogiale, eelkõige arvutitele ja Internetile;
b) ühiskonna haridustaseme tõstmine ja sellest tulenevalt tehnoloogia vabam käsitlemine;
c) tehnoloogia areng ja digirevolutsioon on võimaldanud paljudel digiseadmetel omavahel suhelda, nagu arvuti, mobiiltelefon jne;
d) globaliseerumine, avatud majandus, konkurents globaalses mastaabis;
e) e-kaubanduse kättesaadavus kõigile, igal ajal ja igas kohas.
f) soov säästa aega;
g) kaupade ja teenuste valiku kasv, nõudlus erikaupade ja -teenuste järele.

Elektroonilise kaubanduse turvalisus.

E-kaubanduse üheks põhiprobleemiks on tänapäeval jätkuvalt turvaprobleem, s.o. riskide minimeerimine ja teabe kaitsmine.
Ettevõtte normaalse toimimise katkemise põhjused Internetis võivad olla: arvutiviirused, rahalist kahju põhjustav pettus; konfidentsiaalse teabe vargus; ebaseaduslik sekkumine failidesse, mis sisaldavad konfidentsiaalset teavet tarbijate kohta jne.
Elektroonilise ettevõtte veebisaidi kaitseaste sõltub selle teabe konfidentsiaalsuse tasemest ja selle nõuetele vastavuse vajadusest. Seega, kui näiteks veebisaidile sisestatakse krediitkaardi numbrid, siis on vaja tagada veebiserveri kõrgeim kaitseaste.
Turvalisuse hoidmise ülesanded e-kaubanduses taanduvad kasutaja autentimisele, teabe konfidentsiaalsuse ja terviklikkuse säilitamisele: autentimine - kasutaja autentsuse kontrollimine; konfidentsiaalsus – kasutaja poolt edastatud privaatsete andmete säilimise tagamine; teabe terviklikkus – edastatavas teabes moonutuste puudumine.
Häkkerid ja viirused võivad ohustada veebiserveris oleva teabe terviklikkust.
Häkker tungib nõrgalt kaitstud arvutitesse ja serveritesse ning installib eriprogramme - nähtamatuid, mida on üsna raske tuvastada. Tavaliselt ei kahjusta selline nähtamatu programm veebisaiti, kuid tekitab võrgus suuri ummikuid. Häkker määrab oma rünnaku sihtmärgi ja aktiveerib eelinstallitud programmi, saates käsu mitmele arvutile Interneti kaudu. See käivitab rünnaku, mis koormab üle kommertsettevõtte võrgu.
Teine tõsine Interneti-arvutite ja serverite turvarikkumise tüüp on viirus. Viirused rikuvad süsteemi terviklikkust ja eksitavad infoturbemeetmeid. Parim viis viiruste eest kaitsmiseks on viirusetõrjeprogrammide installimine ja perioodiline värskendamine, samuti tulemüüride kasutamine. Tulemüür on ettevõtte võrgu ja Interneti vahele paigaldatud filter, mis kaitseb teavet ja faile volitamata juurdepääsu eest ning võimaldab juurdepääsu ainult selleks volitatud isikutele. Seega takistab tulemüür arvutiviiruste ja häkkerite sisenemist ettevõtte võrku ning kaitseb seda välismõjude eest Internetiga ühenduse loomisel.
E-kaubanduse juurutamisel on üheks olulisemaks küsimuseks info konfidentsiaalsus. Kasutaja poolt ettevõttele edastatav teave peab olema usaldusväärselt kaitstud. Üheks võimaluseks tagada turvaline ja konfidentsiaalne andmeedastus üle arvutivõrkude on krüptograafia, s.o. andmete krüptimine või kodeerimine nii, et neid saavad lugeda ainult konkreetse tehinguga seotud osapooled.
Krüpteerimisel teisendab sõnumi saatja teksti märkide komplektiks, mida ei saa lugeda ilma adressaadile teadaoleva spetsiaalse võtmeta. Šifri võtmeks on arvuti kõvakettale või disketile salvestatud tähemärkide jada. Infoturbe aste sõltub krüpteerimisalgoritmist ja võtme pikkusest, mõõdetuna bittides.
Krüpteerimisalgoritme on kahte tüüpi:

sümmeetriline, milles mõlemale poolele teadaolevat võtit kasutatakse nii teabe krüptimiseks kui ka dekrüpteerimiseks;
asümmeetriline, milles kasutatakse kahte võtit, ühte krüptimiseks ja teist dekrüpteerimiseks. Üks neist võtmetest on privaatne (salajane), teine ​​on avatud (avalik).

Üks tuntumaid ja paljutõotavamaid meetodeid sõnumite saatja autentimiseks on elektrooniline digitaalallkiri (EDS) – käsitsi kirjutatud allkirja elektrooniline vaste. Esimese digitaalallkirja pakkus välja 1976. aastal Whitfield Diffie Stanfordi ülikoolist. Vene Föderatsiooni föderaalseadus "Elektroonilise digitaalallkirja kohta" sätestab, et elektrooniline digitaalallkiri on elektroonilise dokumendi nõue, mille eesmärk on kaitsta seda dokumenti võltsimise eest ja mis on saadud teabe krüptograafilise teisendamise tulemusena elektroonilise privaatvõtme abil. digitaalallkirja ja võimaldab tuvastada allkirjavõtme sertifikaadi omanikku ning tuvastada ka elektroonilises dokumendis teabe moonutamise puudumist.
Elektroonilise digitaalallkirja rakendamise protsess on järgmine:
1. saatja loob sõnumi ja krüpteerib selle oma privaatvõtmega, mis on samal ajal ka saatja elektrooniline digitaalallkiri. Sel juhul krüpteeritakse nii suhtluse tekst ise kui ka dokumendi lõppu lisatud digiallkiri.
2. saatja edastab krüpteeritud kirja ja oma avaliku võtme sidekanalite kaudu saajale;
3. Saaja dekrüpteerib sõnumi, kasutades saatja avalikku võtit.
4. Koos digitaalallkirjaga kasutatakse tavaliselt ühte olemasolevatest räsifunktsioonidest. Funktsioon HASH loob sõnumi töötlemise ajal tähemärkide jada, mida nimetatakse sõnumi kokkuvõtteks. Saatja koostab kirjast kokkuvõtte, krüpteerib selle ja edastab ka adressaadile. Saaja töötleb sõnumit sama HASH-funktsiooniga ja saab ka sõnumi kokkuvõtte. Kui mõlemad sõnumite kokkuvõtted ühtivad, saadi sõnum rikkumata.
5. Digisertifikaate kasutatakse avaliku võtme omandiõiguse kinnitamiseks konkreetsele isikule või äriettevõttele. Digisertifikaat on sertifitseerimisasutuse poolt väljastatud dokument konkreetse isiku või ettevõtte identiteedi kinnitamiseks, kontrollides selle nime ja avalikku võtit. Digisertifikaadi saamiseks tuleb võtta ühendust sertifitseerimiskeskusega ja esitada vajalik teave. Iga sertifitseerimisasutus määrab oma hinnad ja väljastab reeglina aastaks digisertifikaadi, mida on võimalik pärast järgmise aasta eest tasumist uuendada.
Turvaprobleemide lahendamiseks kasutavad e-kaubanduse ettevõtted SSL-i ja SET-tehnoloogiat.
SSL-protokoll on peamine protokoll, mida kasutatakse Interneti kaudu edastatavate andmete kaitsmiseks. See protokoll põhineb asümmeetriliste ja sümmeetriliste krüpteerimisalgoritmide kombinatsioonil. Sellel on kolm põhifunktsiooni: serveri autentimine, kliendi autentimine ja SSL-krüptitud ühendus.
SET-protokoll on kommertspankade ja krediitkaardiklientide vaheliste tehingute jaoks kasutatav protokoll.

Riskid ja ohud

Iga äri on seotud riskidega, mis tulenevad konkurentsist, vargustest, avalike eelistuste ebastabiilsusest, loodusõnnetustest jne. Siiski on e-kaubandusega seotud riskidel oma eripärad ja allikad, sealhulgas:
Murdvargad.
Suutmatus meelitada kaaslasi.
Seadmete rikked.
Toite-, sideliinide või võrgurikked.
Sõltuvus kohaletoimetamisteenustest.
Tihe konkurents.
Tarkvara vead.
Muutused poliitikas ja maksustamises.
Piiratud süsteemi võimsus.

Murdvargad
Kõige populaarsem oht ​​e-kaubandusele pärineb arvutihäkkeritelt. Iga ettevõtet ähvardab kurjategijate rünnak ja suured e-kaubanduse ettevõtted tõmbavad erinevate oskustega arvutihäkkerite tähelepanu.
Selle tähelepanu põhjused on erinevad. Mõnel juhul on see lihtsalt "puhas sportlik huvi", mõnel juhul soov teha kahju, varastada raha või osta toode või teenus tasuta.
Saidi turvalisus tagatakse järgmiste meetmete kombinatsiooniga:
Varundage oluline teave.
Personalipoliitika, mis võimaldab meelitada tööle vaid kohusetundlikke inimesi ja julgustab personali kohusetundlikkust. Kõige ohtlikumad häkkimiskatsed tulevad ettevõtte seest.
Andmekaitsevõimalustega tarkvara kasutamine ja selle õigeaegne uuendamine.
Personali koolitamine sihtmärkide tuvastamiseks ja süsteemi nõrkade külgede tuvastamiseks.
Auditeerimine ja logimine edukate ja ebaõnnestunud häkkimiskatsete tuvastamiseks.
Tavaliselt õnnestub häkkimine kergesti äraarvatavate paroolide, levinud konfiguratsioonivigade ja tarkvaraversioonide õigeaegse värskendamise tõttu. Enda kaitsmiseks mitte nii keeruka varga eest piisab, kui võtta kasutusele suhteliselt lihtsad meetmed. Viimase abinõuna peaks alati olema kriitiliste andmete varukoopia.

Suutmatus meelitada kaaslasi
Kuigi häkkerite rünnakud valmistavad suurimat muret, tuleneb enamik e-kaubanduse tõrkeid siiski traditsioonilistest majanduslikest teguritest. Suure e-kaubanduse saidi loomine ja turundamine nõuab palju raha. Ettevõtted eelistavad lühiajalisi investeeringuid, pakkudes kohest klientide arvu ja tulude kasvu, kui bränd on turule jõudnud.
E-kaubanduse kokkuvarisemine tõi kaasa paljude ainult sellele spetsialiseerunud ettevõtete hävingu.

Seadmete rikked
On üsna ilmne, et internetile keskendunud ettevõtte ühe arvuti olulise osa rike võib sellele olulist kahju tekitada.
Suure koormuse all töötavate või olulisi funktsioone täitvate saitide seisaku eest kaitstakse dubleerimisega, nii et ühegi komponendi rike ei mõjuta kogu süsteemi funktsionaalsust. Kuid ka siin tuleb hinnata võimalikest seisakutest tulenevaid kahjusid võrreldes lisaseadmete soetamise kuludega.
Paljusid Apache, PHP ja MySQL-i kasutavaid arvuteid on suhteliselt lihtne seadistada. Lisaks võimaldab MySQLi replikatsioonimootor üldist teavet andmebaaside vahel sünkroonida. Suur arv arvuteid tähendab aga ka suuri kulutusi seadmete, võrgutaristu ja hostimise ülalpidamiseks.
Toite-, sideliinide, võrgu ja tarneteenuse rikked
Interneti-sõltuvus tähendab sõltuvust paljudest omavahel seotud teenusepakkujatest, nii et kui ühendus muu maailmaga ootamatult katkeb, ei jää muud üle, kui oodata selle taastumist. Sama kehtib ka elektrikatkestuste ja streikide või muude elektrikatkestuste ja streikide või muude tarneettevõtte häirete kohta.
Kui teil on piisav eelarve, saate tegeleda mitme teenusepakkujaga. See toob kaasa lisakulusid, kuid tagab katkematu töö ühe neist rikke korral. Äärmuslikke elektrikatkestusi saab kaitsta katkematute toiteallikate paigaldamisega.

Tihe konkurents
Kui avate tänaval kioski, pole konkurentsikeskkonna hindamine eriti keeruline - konkurendid on kõik, kes müüvad sama toodet silmapiiril. E-kaubanduse puhul on olukord mõnevõrra keerulisem.
Olenevalt saatmiskuludest, valuutakursside kõikumisest ja tööjõukulude erinevustest võivad konkurendid asuda kõikjal. Internet on tiheda konkurentsiga ja kiiresti arenev keskkond. Populaarsetes ärisektorites ilmneb uusi konkurente peaaegu iga päev.
Konkurentsiriski on raske hinnata. Siin on kõige õigem strateegia toetada praegust tehnoloogiataset.

Tarkvara vead
Kui ettevõte sõltub tarkvarast, on see selle tarkvara vigade suhtes haavatav.

Kriitiliste rikete tõenäosust saab minimeerida, installides usaldusväärse tarkvara, testides pärast iga vigase riistvara asendamist ja rakendades ametlikke testimisprotseduure. Väga oluline on süsteemi uuendustega kaasneda põhjalik testimine.
Tarkvaratõrgetest põhjustatud kahju vähendamiseks peaksite kõik andmed viivitamatult varundama. Muudatuste tegemisel peate salvestama eelmised programmi konfiguratsioonid. Võimalike rikete kiireks tuvastamiseks on vajalik süsteemi pidev jälgimine.

Muutused maksupoliitikas
Paljudes riikides ei ole e-äri tegevust seadusega määratletud või piisavalt määratletud. Selline olukord ei saa aga püsida igavesti ning probleemi lahendamine toob kaasa mitmeid probleeme, mis võivad viia mõne ettevõtte sulgemiseni. Lisaks on alati kõrgete maksude oht.
Neid probleeme ei saa vältida. Ainus mõistlik tegutsemisviis selles olukorras oleks olukorra hoolikas jälgimine ja ettevõtte tegevuse seadusega kooskõlla viimine. Samuti tuleks uurida võimalust teha oma huvides lobitööd.

Piiratud süsteemi võimsus
Süsteemi kavandamise etapis peaksite kindlasti kaaluma selle kasvu võimalust. Edu on lahutamatult seotud koormustega, seega peab süsteem võimaldama seadmete laiendamist.
Piiratud jõudluse kasvu on võimalik saavutada riistvara väljavahetamisega, kuid ka kõige arenenuma arvuti kiirusel on piir, seega peab tarkvara pakkuma võimalust jaotada koormus mitme süsteemi vahel, kui määratud piir on saavutatud. Näiteks peab andmebaasihaldussüsteem suutma töödelda mitme masina päringuid samaaegselt.
Süsteemi laiendamine ei ole valutu, kuid õigeaegne planeerimine arendusetapis võimaldab ette näha paljusid klientide arvu suurenemisega seotud probleeme ja neid juba ette ära hoida.

Järeldus
Kuigi Interneti-ühenduse loomine pakub tohutule hulgale teabele juurdepääsu tõttu tohutuid eeliseid, on see ohtlik ka madala turvatasemega saitidele. Internet kannatab tõsiste turbeprobleemide käes, mis võivad tähelepanuta jätmise korral valmistada ette valmistamata saitidele katastroofi. Vead TCP/IP ülesehituses, hosti halduse keerukus, programmide haavatavused ja mitmed muud tegurid koos muudavad kaitsmata saidid ründajate tegevuse suhtes haavatavaks.
Organisatsioonid peavad vastama järgmistele küsimustele, et õigesti kaaluda Interneti-ühenduse turvalisuse mõju.
Kas häkkerid võivad sisesüsteeme hävitada?
Kas organisatsiooni oluline teave võib Interneti kaudu edastamise ajal ohtu sattuda (muuta või lugeda)?
Kas on võimalik organisatsiooni tööd segada?
Need on kõik olulised küsimused. Suurte Interneti-turvaprobleemide vastu võitlemiseks on palju tehnilisi lahendusi. Siiski on neil kõigil oma hind. Paljud lahendused piiravad turvalisuse suurendamiseks funktsionaalsust. Teised nõuavad märkimisväärseid kompromisse Interneti kasutamise lihtsuse osas. Teised aga nõuavad märkimisväärsete ressursside investeerimist – tööaega turvalisuse juurutamiseks ja säilitamiseks ning raha seadmete ja programmide ostmiseks ja hooldamiseks.
Interneti-turvapoliitika eesmärk on otsustada, kuidas organisatsioon kavatseb end kaitsta. Poliis koosneb tavaliselt kahest osast – üldpõhimõtetest ja konkreetsetest tegevusreeglitest (mis on samaväärsed allpool kirjeldatud konkreetse poliitikaga). Üldised põhimõtted juhivad lähenemist Interneti-turvalisusele. Reeglid määravad, mis on lubatud ja mis keelatud. Reegleid võidakse täiendada konkreetsete protseduuride ja erinevate juhistega.
On tõsi, et Interneti-turvalisuse kirjanduses esineb ka kolmandat tüüpi poliitikat. See on tehniline lähenemine. Käesolevas väljaandes mõistetakse tehnilise lähenemise all analüüsi, mis aitab poliitika põhimõtteid ja reegleid ellu viia. See on üldiselt liiga tehniline ja keeruline, et organisatsiooni juhtkond seda mõistaks. Seetõttu ei saa seda kasutada nii laialdaselt kui poliitikat. Siiski on see vajalik võimalike lahenduste kirjeldamisel, kompromisside väljaselgitamisel, mis on poliitika kirjeldamisel vajalik element.
Et Interneti-poliitika oleks tõhus, peavad poliitikakujundajad mõistma kompromisse, mida nad peavad tegema. See poliitika ei tohiks olla vastuolus ka organisatsiooni muude juhtimisdokumentidega. See väljaanne püüab pakkuda tehnilistele spetsialistidele teavet, mida nad peavad Interneti-poliitika kujundajatele selgitama. See sisaldab poliitika eelkujundust, mille alusel saab seejärel teha konkreetseid tehnilisi otsuseid.
Internet on oluline ressurss, mis on muutnud paljude inimeste ja organisatsioonide tegutsemisviisi. Internet kannatab aga tõsiste ja laialt levinud turvaprobleemide käes. Ründajad on rünnanud või uurinud paljusid organisatsioone, mis on põhjustanud suuri rahalisi kaotusi ja kaotanud oma prestiiži. Mõnel juhul olid organisatsioonid sunnitud ajutiselt Interneti-ühenduse katkestama ja kulutasid märkimisväärseid summasid hosti- ja võrgukonfiguratsioonidega seotud probleemide tõrkeotsingule. Saidid, mis neid probleeme ei tea või ignoreerivad, seavad end pahatahtlike osalejate võrgurünnakute ohtu. Isegi need saidid, mis on rakendanud turvameetmeid, on avatud võrguprogrammide uute haavatavuste ilmnemise ja mõnede ründajate püsivuse tõttu samadele ohtudele.
Põhiprobleem on see, et Internet ei olnud loodud turvaliseks võrguks. Mõned selle probleemid TCP/IP praeguses versioonis on järgmised:
Andmete pealtkuulamise ja võrgus olevate masinate aadresside võltsimise lihtsus – suurem osa Interneti-liiklusest on krüptimata andmed. E-kirju, paroole ja faile saab pealt kuulata hõlpsasti juurdepääsetavate programmide abil.
TCP/IP-tööriistade haavatavus – mitmed TCP/IP-tööriistad ei olnud loodud turvaliseks ja oskuslikud ründajad võivad neid ohustada; testimiseks kasutatavad tööriistad on eriti haavatavad.
Eeskirjade puudumine – paljud saidid on teadmatult konfigureeritud nii, et nad pakuvad endale Interneti kaudu laialdast juurdepääsu, võtmata arvesse selle juurdepääsu kuritarvitamise võimalust; Paljud saidid lubavad rohkem TCP/IP-teenuseid, kui neil vaja on, ega püüa piirata juurdepääsu oma arvutite kohta käivale teabele, mis võiks ründajaid aidata.
Raske konfigureerida – hosti juurdepääsu juhtelemendid on keerulised; Paigalduste tõhusust on sageli keeruline õigesti konfigureerida ja kontrollida. Kogemata valesti konfigureeritud tööriistad võivad põhjustada volitamata juurdepääsu.

Kasutatud kirjanduse loetelu
1. Materjalid infotehnoloogia serverist - http://www. citforum.ru
2. Mis on e-kaubandus? V. Zavaleev, Infotehnoloogia keskus. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovitš A.A., Tsarev V.V. Õpikud ülikoolidele: Elektrooniline kaubandus 2002, 320 lk.

| Väljaannete nimekirja

Kaubandusettevõtete, jaekaubandusvõrkude ja nende infrastruktuuri infoturbe tagamine

Venemaa kaubanduse arengu praegused suundumused viivad ettevõtete konsolideerimiseni, suurendades nende koosseisu kuuluvate ettevõtete arvu, koondades erinevate operaatorite varasid, viies läbi ühinemisi ja ülevõtmisi ning luues võrgujaotuskeskusi. Sellest tulenevalt kasvavad nõuded infotehnoloogiale ja nende tähtsus kaubanduse korraldamisel. Infovoogude töötlemine igas ettevõttes nõuab suurt kiirust ja absoluutset täpsust.

Joonis 1. Peamised võrguettevõtte juhtimissüsteemis ringlevad infovood

Kaasaegse kaupluse, hulgikaubandusettevõtte ja jaotusvõrgu haldamine hõlmab automatiseeritud süsteemide kasutamist integreeritud kaubanduse, lao ja raamatupidamise jaoks. Tänapäeval teevad juhid juhtimisotsuseid infosüsteemidest saadud andmete põhjal. Seega, olenemata ettevõtte struktuurist, tuleb lepingute, varude liikumise, kassa ja raamatupidamine läbi viia ühtses inforuumis.

Kauplemisprotsessi juhtimise automatiseerimiseks luuakse ettevõttes infosüsteem, mis võib sisaldada:

- sisemine arvestus- ja aruandlussüsteem (sisaldab andmeid kauba tootmise ja ringluse mahu, struktuuri ja kiiruse, ettevõtte kulude ja kahjumite, brutotulude, puhaskasumi, kasumlikkuse jms kohta);
- turundusinfosüsteem (võimaldab jälgida hetkeseisu, suundumusi ja turu arengu väljavaateid). Seda infosüsteemi võib defineerida ka luuresüsteemina, sest see tagab konkurentide tegevuse kohta andmete kogumise, töötlemise ja analüüsi.

Andmed infosüsteemi tulevad ettevõtte töötajatelt ja edasimüüjate kontorisüsteemidest. Edaspidi kasutatakse neid ettevõtte operatiivjuhtimiseks, ettevõtte kui terviku, piirkondlike esinduste ja edasimüüjate tegevuse kontrollimiseks ja analüüsimiseks. Infovõrgu andmete tarbijad on ettevõtte ja turustajaettevõtete juhid ja juhid. Joonistel 1 ja 2 on kujutatud peamised kaubandusettevõtte juhtimissüsteemis (kaubandusvõrgus) ringlevad infovood, näidates ära nende peamised allikad ja tarbijad.

Strateegiliste juhtimisotsuste tegemiseks on ettevõtte juhil, finantsdirektoril, pearaamatupidajal ja tippjuhtidel kohustuslik esitada tervikpilt ettevõtte olukorrast ja arengusuundadest (joonis 1.).

Töökohtadel raamatupidamisosakonnas, müügipõrandal, laos tegelevad töötajad ainult üldise infovoo üksikute fragmentidega. Nende ülesanded ja funktsioonid taanduvad reeglina kaupade vastuvõtmise ja tarbimise töötlemisele ja registreerimisele, arvete väljastamisele, kassaaparaadiga töötamisele jne. (Joonis 2.).

Arvestades kauplemisettevõtete riske ja infosüsteemide haavatavust, tundub vastutustundetu läheneda sellisele lähenemisele, kus ettevõte reageerib sündmustele tagantjärele, s.t. pärast nende toimumist. Sellest järeldub, et ettevõte peab looma infoturbesüsteemi. See on juhtimissüsteemi üks peamisi elemente.

Infosüsteemi töö peatamine võib põhjustada ettevõttele pöördumatuid tagajärgi. Seega kindlustusfirma Gerlingi sõnul infosüsteemi täieliku seiskumise korral saavad kaubandusettevõtted eksisteerida vaid 2,5 päeva, ja tootmisettevõtete puhul, kus puudub pidev tootmistsükkel, on see arv 5 päeva.

Tõhusa infoturbesüsteemi loomise lähteandmeteks peaksid olema selged ettekujutused selle eesmärkidest ja ülesehitusest, ohtude tüüpidest ja nende allikatest ning võimalikest vastumeetmetest.

Ohtude allikad võivad olla välised ja sisemised.

Joonis 2. Andmevahetussüsteem jaekaubandusettevõtte või jaeketi erinevate osakondade töötajatele

Välised ohud enamasti pärit konkurentidelt, kuritegelikelt rühmitustelt ning õigus- ja haldusasutuste korrumpeerunud ametnikelt. Väliste ohtude tegevus võib olla suunatud passiivsele andmekandjale, teabe eemaldamisele vahetusprotsessi käigus, teabe hävitamisele või selle andmekandjate kahjustamisele. Ähvardused võivad olla suunatud ettevõtte töötajatele ja väljenduda altkäemaksu, ähvarduste, väljapressimise, ärisaladust moodustava teabe saamiseks teabe väljaotsimise või juhtivate spetsialistide ärameelitamise vms vormis.

Siseringi ähvardused kujutavad endast suurimat ohtu. Need võivad pärineda ebakompetentsete juhtide, hoolimatute ja oskusteta töötajate, omastajate ja petturite ning aegunud tootmisvahendite käest. Kõrge enesehinnanguga töötajad võivad rahulolematuse tõttu oma ambitsioonidega (palgatase, suhted juhtkonna, kolleegidega jne) ennetavalt konkurentidele äriteavet välja anda, püüda hävitada olulist teavet või passiivset meediat, Näiteks tutvustage arvutiviirust.

Teaberessursside kahjustamise põhjuseks võivad olla:

konfidentsiaalse teabe volitamata juurdepääsu ja eemaldamise rakendamine;
töötajate altkäemaksu võtmine konfidentsiaalsele teabele või infosüsteemile juurdepääsu saamiseks;
side- ja arvutiseadmetes ja -süsteemides ringleva teabe pealtkuulamisega, kasutades tehnilisi luure- ja teabekogumisvahendeid;
bürooruumides, ameti- ja isiklikes sõidukites, korterites ja suvilates toimuvate konfidentsiaalsete vestluste pealtkuulamisega;
läbirääkimisprotsesside kaudu, kasutades teabe hoolimatut ümberkäimist;

Peamised teabeallikad on: inimesed, dokumendid, trükised, tehnilised kandjad, tehnilised vahendid, tooted ja jäätmed.

Peamised viisid volitamata teabe saamiseks on järgmised:

- konfidentsiaalse teabe avaldamine;
- volitamata juurdepääs teabeallikatele;
- konfidentsiaalse teabe lekkimine ettevõtte töötajate süül.

Infoturbe tagamiseks vajalike meetmete võtmise probleemi asjakohasust saab illustreerida järgmiste näidetega:

1. Föderaaloperaatori turvateenistus tuvastab iga kuu kaks kuni kuus infoturbe rikkumistega seotud intsidenti.
2. Ühes hüpermarketis „valgustati“ noor neiu kassaterminalide üle kohaliku võrgu sidumise programmi puudustest. Pettuse tulemusena “teenis daam” kolme kuuga 900 000 rubla.
3. Noor kassapidaja tegi sularahaprogrammis muudatusi ja tekitas kuu ajaga ettevõttele kahju umbes 200 000 rubla ulatuses. Süsteemiadministraator avastas volitamata juurdepääsu fakti alles uurimise käigus kaks kuud pärast kassapidaja vallandamist.

Seega peavad ettevõtete juhid mõistma infoturbe tähtsust ning õppima tulevikutrende ette nägema ja juhtima. Turvasüsteemide tõhus toimimine peaks olema kogu ettevõtte prioriteet.

Peamised teabekaitse valdkonnad:

- õiguskaitse hõlmab: Vene Föderatsiooni õigusakte, tema enda normatiivdokumente, sealhulgas: konfidentsiaalse teabe säilitamise eeskirjad, ärisaladust moodustava teabe loetelu, juhised töötajate konfidentsiaalsele teabele juurdepääsu korra kohta, kontoritöö eeskirjad. ja dokumendivoog, töötaja mitteavaldamise kohustus konfidentsiaalne teave, meeldetuletus töötajale ärisaladuse hoidmise kohta jms;
- organisatsiooniline kaitse hõlmab režiimi-administratiivseid ja organisatsioonilisi meetmeid. Nende hulka kuuluvad: turvateenuse korraldamine, sise- ja juurdepääsukontrolli korraldamine, töö korraldamine töötajatega äri- ja ametisaladust sisaldava teabe mitteavaldamisel, töö korraldamine dokumentidega, töö korraldamine välis- ja siseohtude analüüsil. , jne.
- inseneri- ja tehniline kaitse – hõlmab teabe kaitsmiseks mõeldud erinevate tehniliste, elektrooniliste ja tarkvaravahendite kasutamist.

Infoturbe programmi elluviimisel tuleks lähtuda turvasüsteemide ja -vahendite integreeritud kasutamisest lähtudes eeldusest, et vajalikku turvataset ei ole võimalik tagada vaid ühe eraldiseisva vahendi või meetme või lihtsa kombinatsiooni abil. nendest. Nende süsteemne koordineerimine on vajalik. Sellisel juhul saab mis tahes ohu realiseerimine kaitstavat objekti mõjutada ainult siis, kui kõik kaitsetasemed on ületatud.

Iga e-kaubanduse süsteemi kui terviku turvalisus seisneb kaitses selle andmete erinevat tüüpi häirete eest. Kõik need sekkumised võib jagada mitmesse kategooriasse:

· andmete vargus (näiteks krediitkaardi numbrite vargus andmebaasist);

· häired (näiteks saidi andmete ülekoormus, mis pole ette nähtud nii suure hulga teabe jaoks);

· andmete moonutamine (näiteks makse- ja arvefailide summade muutmine või olematute sertifikaatide või saitide loomine konkreetsele saidile mineva teabe pumpamiseks);

· andmete hävitamine (näiteks saidilt või kasutajalt saidile edastamise ajal);

· tehtud toimingutest keeldumine (näiteks tellimuse esitamise või kauba kättesaamise faktist);

· objekti rajatiste tahtmatu kuritarvitamine heauskse kasutaja poolt;

· volitamata juurdepääs teabele:

· andmete volitamata kopeerimine, uuendamine või muul viisil kasutamine;

· volitamata tehingud;

· andmete volitamata vaatamine või edastamine (näiteks külastajate pärisnimede kuvamine jututoas või foorumis hüüdnimede asemel).

Samas ei saa jätta arvestamata, et selle valdkonna turvalisuse küsimustes on mitmeid objektiivseid õiguslikku laadi probleeme - tehnoloogiad arenevad palju kiiremini kui seadusandlik raamistik, ründajat on raske tabada. kuriteo tegu ning tõendeid ja kuritegude jälgi saab hõlpsasti jäljetult hävitada. Kõik see nõuab, et ettevõtted töötaksid hoolikalt välja oma elektroonilise äri kaitsmise poliitika. Täielik ja absoluutne turvalisus on kättesaamatu, sest e-ärisüsteemid on üles ehitatud erinevate tarnijate erinevatele valmis- ja kohandatud tarkvararakendustele ning märkimisväärsele hulgale teenusepakkujate või äripartnerite pakutavatele välisteenustele. Märkimisväärne osa nendest komponentidest ja teenustest on kliendiettevõtte IT-spetsialistidele tavaliselt läbipaistmatud, lisaks on paljud neist sageli nende loojate poolt muudetud ja täiustatud. Kõiki neid võimalike turvadefektide suhtes on võimatu põhjalikult kontrollida ja veelgi keerulisem on kõiki neid defekte kõrvaldada. Ja isegi kui see oleks võimalik, ei saa välistada nn inimfaktorit, kuna kõiki süsteeme loovad, muudavad ja juhivad inimesed ning Arvutiturbe Instituudi uuringu järgi märkis 81% vastanutest, et kõige suurem mure on ettevõtetele. on sisemine oht – oma töötajate tahtlik või tahtmatu tegevus.

Sisemiste ohtude eest kaitsmise probleemil on kaks aspekti: tehniline ja organisatsiooniline. Tehniline aspekt on soov välistada igasugune volitamata juurdepääsu võimalus teabele. Sel eesmärgil kasutatakse selliseid tuntud vahendeid nagu:

paroolide hooldamine ja regulaarne muutmine; süsteemi haldamiseks vajalike miinimumõiguste tagamine;

Standardprotseduuride olemasolu juurdepääsurühma õigeaegseks muutmiseks personalivahetuse ajal või juurdepääsu viivitamatuks hävitamiseks töötaja vallandamisel.

Organisatsiooniline aspekt on välja töötada ratsionaalne sisejulgeolekupoliitika, mis muudab rutiinseks tegevuseks sellised harva kasutatavad meetodid ettevõtete häkkerirünnakute kaitsmiseks ja ennetamiseks:

· üldise ohutuskultuuri juurutamine ettevõttes;

· tarkvara testimine häkkimiseks;

· iga häkkimiskatse jälgimine (ükskõik kui edukas see on) ja selle põhjalik uurimine;

· töötajate iga-aastane koolitus turvalisuse ja küberkuritegevuse küsimustes, sealhulgas teave häkkerite rünnakute konkreetsete tunnuste kohta, et maksimeerida töötajate arvu, kes suudavad sellist tegevust tuvastada;

· teabe tahtmatu muutmise või hävitamise juhtumite käsitlemiseks selgete protseduuride kehtestamine.

Välise sissetungi eest kaitsmiseks on tänapäeval palju süsteeme, mis on sisuliselt erinevat tüüpi filtrid, mis aitavad tuvastada häkkimiskatseid varajases staadiumis ja võimaluse korral takistavad ründajal välisvõrkude kaudu süsteemi siseneda.

· ruuterid - võrguliikluse haldusseadmed, mis asuvad teist järku võrkude vahel ja haldavad sellega ühendatud võrgusegmentide sissetulevat ja väljaminevat liiklust;

· tulemüürid – vahendid privaatvõrkude eraldamiseks avalikest võrkudest tarkvara abil, mis jälgib ja tõrjub saidi väliseid ründeid, kasutades teatud kontrolli taotluste tüüpide üle;

rakenduse lüüsid on vahendid, mille abil võrguadministraator rakendab turbepoliitikat, mis juhib pakettfiltreerimist teostavaid ruutereid;

· Sissetungi tuvastamise süsteemid (IDS) – süsteemid, mis tuvastavad tahtlikke ründeid ja süsteemiressursside tahtmatut väärkasutamist kasutajate poolt;

· turvalisuse hindamise tööriistad (spetsiaalsed skannerid jne) - programmid, mis kontrollivad regulaarselt võrku probleemide suhtes ja testivad rakendatud turvapoliitika tõhusust.

Üldiselt peaks ettevõte esimese asjana välja mõtlema, mida ja kelle eest kaitsta. Peamised tegijad selles valdkonnas on ettevõtte aktsionärid, tarbijad, töötajad ja äripartnerid ning igaühe jaoks on vaja välja töötada oma kaitseskeem. Kõik turbenõuded peavad olema dokumenteeritud, et olla juhised e-kaubanduse rakenduste ja nende turvameetmete juurutamiseks ettevõtte erinevatel ärivaldkondadel. Lisaks võimaldab see luua ettevõttesisese turvaprobleemide teenindamiseks eraldi eelarve ja optimeerida nende vajaduste jaoks kulusid, välistades turbeprobleemide dubleerimise iga üksiku äriprojekti väljatöötamisel.

Kahjuks on tänane praktika selline, et turvapoliitika on jäetud IT-osakonna juhtkonna hooleks, kelle töötajate arvates on tehnoloogilised küsimused olulisemad kui mingid “paberjuhised” ja pealegi pole nad teatud ärivaldkondade spetsialistid. mis nõuavad ka ettevõttesiseseid selgeid kaitseprotseduure.

Lisaks võivad erinevate tarkvarade sidumisel tekkida spetsiifilised probleemid, mida iga integreeritud toote tootjad ei tea. Selliste vastasmõjude uurimine peaks eelnema tehnoloogilistele ja eelarvealastele otsustele. Ja siiani on sellele liiga vähe tähelepanu pööratud.

E-kaubanduse ohte on mitut tüüpi:

Sissetungimine süsteemi väljastpoolt.

Volitamata juurdepääs ettevõttes.

Teabe tahtlik pealtkuulamine ja lugemine.

Andmete või võrkude tahtlik katkestamine.

Kasutaja vale (pettuse eesmärgil) tuvastamine.

Häkkimise riist- ja tarkvarakaitse.

Kasutaja volitamata juurdepääs ühest võrgust teise.

Viiruse rünnakud.

Teenusest keeldumine.

Finantspettus.

Nende ohtude vastu võitlemiseks kasutatakse mitmeid erinevatel tehnoloogiatel põhinevaid meetodeid, nimelt: krüpteerimine – andmete kodeerimine, mis takistab nende lugemist või moonutamist; digitaalallkirjad, mis kontrollivad saatja ja saaja identiteeti; elektroonilisi võtmeid kasutavad vargsi tehnoloogiad; tulemüürid; virtuaalsed ja privaatvõrgud.

Ükski kaitsemeetod pole universaalne, näiteks ei kontrolli tulemüürid viiruste suhtes ega suuda tagada andmete terviklikkust. Automaatse kaitse häkkimise vastu pole absoluutselt lollikindel võimalust ja on vaid aja küsimus, millal see sisse häkkitakse. Kuid aeg, mis kulub sellise kaitse purustamiseks, sõltub omakorda selle kvaliteedist. Peab ütlema, et tarkvara ja riistvara Interneti-ühenduste ja -rakenduste kaitsmiseks on arendatud pikka aega, kuigi uusi tehnoloogiaid võetakse kasutusele mõnevõrra ebaühtlaselt.

Millised ohud ootavad e-kaubandusega tegelevat ettevõtet igal etapil:

Elektroonilise poe serveri veebilehe asendamine (päringute ümbersuunamine teisele serverile), kliendi, eriti tema krediitkaartide kohta teabe kättesaadavaks tegemine kolmandatele isikutele;

E-poe töötajate võltstellimuste loomine ja mitmesugused pettused, näiteks andmebaasidega manipuleerimine (statistika näitab, et üle poole arvutiintsidentidest on seotud nende enda töötajate tegevusega);

E-kaubanduse võrkude kaudu edastatavate andmete pealtkuulamine;

Ründajate tungimine ettevõtte sisevõrku ja elektroonikapoe komponentide kompromiteerimine;

Teenuse keelamise rünnakute rakendamine ja e-kaubanduse sõlme toimimise häirimine või keelamine.

Taoliste ohtude realiseerimise tulemusena kaotab ettevõte klientide usalduse, kaotab raha võimalikest ja/või ebatäiuslikest tehingutest, elektroonikapoe tegevus on häiritud ning kulutab aega, raha ja inimressurssi toimimise taastamiseks.

Loomulikult ei piirdu Interneti kaudu edastatava teabe pealtkuulamisega seotud ohud ainult e-kaubanduse sektoriga. Viimasega seoses on eriti oluline asjaolu, et selle süsteemid sisaldavad suure majandusliku tähtsusega teavet: krediitkaardinumbreid, kontonumbreid, lepingute sisu jne.

1. E-kaubanduse turvamine

Turvalisuse tagamine pole mitte ainult eduka elektroonilise äri vajalik tingimus, vaid ka osapooltevaheliste usalduslike suhete alus. E-äri põhiolemus seisneb aktiivses infovahetuses ja tehingutes kaitsmata avaliku võrgu kaudu, mis on lihtsalt võimatu ilma usalduslike suheteta äriüksuste vahel. Seetõttu on turvalisuse tagamine keeruline, hõlmates selliseid ülesandeid nagu juurdepääs veebiserveritele ja veebirakendustele, kasutajate autentimine ja autoriseerimine, andmete terviklikkuse ja konfidentsiaalsuse tagamine, elektrooniliste digiallkirjade rakendamine jne.

Interneti kasvava kommertsialiseerumisega pööratakse üha enam tähelepanu võrgu kaudu edastatava teabe kaitsele. Spetsiaalsed protokollid, mis on loodud turvalise suhtluse korraldamiseks Interneti kaudu (näiteks SET, SOCKS5, SSL, SHTTP jne), on pälvinud laialdast tunnustust kogu maailmas ja neid kasutavad edukalt välismaised arendajad Interneti-põhiste pangandus- ja kauplemissüsteemide loomiseks.

Välismaal tegeleb e-äri infoturbe probleemiga sõltumatu konsortsium - Internet Security Task Force (ISTF) - avalik organisatsioon, mis koosneb infoturbe tööriistu, e-äri ja Interneti-teenust pakkuvate ettevõtete esindajatest ja ekspertidest. pakkujad.

ISTF määratleb kaksteist infoturbe valdkonda, millele tuleks esmajoones tähelepanu pöörata. e-äri korraldajad:

Mehhanism identifitseeriva teabe objektiivseks kinnitamiseks;

Õigus isiklikule, privaatsele teabele;

Turvasündmuste määratlemine;

Ettevõtte perimeetri kaitse;

Rünnakute määratlus;

Potentsiaalselt u1086 ohtliku sisu juhtimine;

Juurdepääsu kontroll;

Administreerimine;

Reaktsioon sündmustele.

On teada, et elektroonilise digitaalallkirja (EDS) algoritmide kasutamine võimaldab usaldusväärselt kaitsta paljude ohtude eest, kuid see kehtib ainult siis, kui need algoritmid on põimitud hästi põhjendatud interaktsiooniprotokollidega, juriidiliselt korrektses suhete struktuuris ja loogiliselt suletud. usaldussüsteem.

Infoturve põhineb digiallkirja arvutamise ja vastava võtmepaariga kontrollimise protsesside lihtsal loogikal, kuid loogika põhineb fundamentaalsel matemaatilisel uurimistööl. Digiallkirja saab arvutada ainult privaatvõtme omanik ja seda saab kontrollida igaüks, kellel on privaatvõtmele vastav avalik võti.

Loomulikult tuleks infoturbe tagamisse kaasata selle valdkonna spetsialiste, kuid valitsusasutuste, ettevõtete ja asutuste juhid, sõltumata nende omandivormist, kes vastutavad teatud majandusüksuste majandusliku turvalisuse eest, peavad neid küsimusi pidevalt kursis hoidma. nende vaatevälja. Nende jaoks on allpool toodud tervikliku infoturbesüsteemi korraldamise peamised funktsionaalsed komponendid:

Sideprotokollid;

Krüptograafia tööriistad;

Juurdepääsukontrolli tööriistad tööjaamadele avalikest võrkudest;

Viirusevastased kompleksid;

Rünnakute tuvastamise ja auditeerimise programmid;

Tööriistad kasutajate juurdepääsu juhtimise tsentraliseeritud haldamiseks, samuti andmepakettide ja mis tahes rakenduste sõnumite turvaliseks vahetamiseks avatud võrkude kaudu.

Internetis on pikka aega olnud mitmeid komiteesid, peamiselt vabatahtlikke organisatsioone, mis juhivad pakutavaid tehnoloogiaid hoolikalt läbi standardimisprotsessi. Need komiteed, mis moodustavad suurema osa IETF-ist (Internet Engineering Task Force), on standardiseerinud mitu olulist protokolli, kiirendades nende kasutuselevõttu Internetis.

Protokollid, nagu TCP/IP-perekond andmeside jaoks, SMTP (Simple Mail Transport Protocol) ja POP (Post Office Protocol) e-posti jaoks ning SNMP (Simple Network Management Protocol) võrguhalduse jaoks, on IETF-i jõupingutuste otsesed tulemused. Kasutatava turvatoote tüüp sõltub ettevõtte vajadustest.

Internetis on populaarsed turvalised andmeedastusprotokollid, nimelt SSL, SET, IP v.6. Loetletud protokollid ilmusid Internetti suhteliselt hiljuti, kui vajadus väärtusliku teabe kaitsmiseks, ja muutusid kohe de facto standarditeks.

Kahjuks suhtutakse Venemaal endiselt väga ettevaatlikult võimalusesse tuua Internet nendesse tegevusvaldkondadesse, mis on seotud

konfidentsiaalse teabe edastamine, töötlemine ja säilitamine. Sarnased

Ettevaatust ei seleta mitte ainult kodumaiste finantsstruktuuride konservatiivsus, mis pelgavad interneti avatust ja ligipääsetavust, vaid osaliselt ka asjaolu, et enamik Lääne tootmisettevõtete infoturbetarkvarasid siseneb meie turule ekspordipiirangutega. nendes rakendatud krüptoalgoritmid. Näiteks selliste tootjate nagu Microsoft ja Netscape Communications WWW-serverite ja brauserite tarkvara ekspordiversioonides on SSL-protokolli kasutatavate ühe- ja kahevõtmeliste krüpteerimisalgoritmide võtme pikkusele kehtestatud piirangud, mis ei taga täielikku. kaitse Internetis töötamisel.

Kuid e-kaubanduse rakendused on lisaks sisemistele ohtudele vastuvõtlikud ka Internetist lähtuvatele välistele ohtudele. Ja kuna igale anonüümsele külastajale eraldi sisselogimise ID määramine on irratsionaalne (kuna rakendus ei kasva), peavad ettevõtted kasutama teist tüüpi autentimist. Lisaks on vaja ette valmistada serverid rünnakute tõrjumiseks. Lõpuks peaksite olema tundlike andmetega, näiteks krediitkaardinumbritega, äärmiselt ettevaatlik.

Andmete krüpteerimine

Ettevõtte veebisait töötleb tundlikku teavet (nt tarbija krediitkaardinumbreid). Sellise teabe edastamine Interneti kaudu ilma igasuguse kaitseta võib põhjustada korvamatuid tagajärgi. Igaüks võib edastust pealt kuulata ja seega pääseda ligi konfidentsiaalsele teabele. Seetõttu tuleb andmed krüpteerida ja edastada turvalise kanali kaudu. Turvalise andmeedastuse rakendamiseks kasutatakse Secure Sockets Layer (SSL) protokolli.

Selle funktsiooni rakendamiseks peate ostma digitaalse sertifikaadi ja installima selle oma serveri(te)sse. Digisertifikaati saab taotleda ühest sertifitseerimisasutusest. Tuntud kaubanduslike shulka kuuluvad: VerySign, CyberTrust, GTE.

SSL on skeem sellistele protokollidele nagu HTTP (turvalisuse korral nimetatakse seda HTTPS-iks), FTP ja NNTP. Kui kasutate andmeedastuseks SSL-i:

Andmed on krüpteeritud;

Lähteserveri ja sihtserveri vahel on loodud turvaline ühendus;

Serveri autentimine on lubatud.

Kui kasutaja esitab SSL-i kasutades krediitkaardi numbri, krüpteeritakse andmed kohe, nii et häkker ei näe nende sisu. SSL on võrguprotokollist sõltumatu.

Netscape'i serveritarkvara pakub ka autentimist – sertifikaate ja digitaalallkirju –, mis tõendab kasutaja identiteeti ja sõnumi terviklikkust ning tagab, et sõnum ei ole oma marsruuti muutnud.

Autentimine hõlmab kasutaja identiteedi ja digitaalallkirja kinnitamist, et kontrollida teabevahetuse ja finantstehingutega seotud dokumentide autentsust. Digiallkiri on andmed, mida saab võltsimise vältimiseks dokumendile lisada.

Sissetungi tuvastamine

Sissetungi tuvastamise süsteemid (IDS) suudavad tuvastada rünnete mustreid või jälgi ning genereerida häireid

hoiatada operaatoreid ja julgustada ruutereid katkestama ühendusi ebaseadusliku sissetungi allikatega. Need süsteemid võivad takistada ka teenuse keelamise katseid.

Töö kirjeldus

Käesoleva töö eesmärgiks on uurida e-kaubanduse mõistet ning käsitleda e-kaubanduse infoturbe küsimusi.
Ülesanded:
- defineerida e-kaubandus;
- kaaluda selle põhielemente, liike, positiivseid ja negatiivseid aspekte;
- läbi mõelda peamised ohutüübid ja peamised võimalused e-kaubanduse turvalisuse tagamiseks.

Elektroonilise kaubanduse infoturve (EÜ)

Interneti-kasutajate arv on jõudnud mitmesaja miljonini ja esile on kerkinud uus kvaliteet “virtuaalmajanduse” näol. Selles ostetakse ostusaitide kaudu, kasutades uusi ärimudeleid, oma turundusstrateegiat jne.

Elektrooniline kaubandus (EC) on äritegevus kaupade müümiseks Interneti kaudu. Reeglina on EÜ kaks vormi:

* ettevõtetevaheline kaubandus (business to business, B2B);

* ettevõtete ja eraisikute vaheline kaubandus, s.o. tarbijad (ettevõttelt tarbijale, B2C).

EÜ on loonud sellised uued kontseptsioonid nagu:

* Elektroonikapood – vitriin ja kauplemissüsteemid, mida kasutavad tootjad või edasimüüjad, kui kauba järele on nõudlust.

* Elektrooniline kataloog – suure tootevalikuga erinevatelt tootjatelt.

* Elektrooniline oksjon on Interneti-tehnoloogiaid kasutava klassikalise oksjoni analoog, millel on iseloomulik ühendus multimeediumiliidese, Interneti-juurdepääsukanali ja toote omaduste kuvamisega.

* Elektrooniline kaubamaja on analoog tavalisele kaubamajale, kus tavafirmad oma kaupa välja panevad, efektiivse tootebrändiga (Gostiny Dvor, GUM jne).

* Virtuaalsed kogukonnad (communities), milles ostjaid organiseerivad huvigrupid (fänniklubid, ühendused jne).

Internet toob EÜ valdkonnas märkimisväärset kasu:

* kokkuhoid suurtele eraettevõtetele tooraine ja komponentide ostude internetibörsile üleviimiselt ulatub 25 - 30%ni;

* reaalajas osalemine konkureerivate tarnijate oksjonil üle maailma toob kaasa nende poolt kaupade tarnimiseks või teenuste osutamiseks programmeeritud hindade alanemise;

* kaupade või teenuste hinnatõus ostjate konkurentsi tõttu üle kogu maailma;

* kokkuhoid vajalike töötajate arvu ja paberimajanduse mahu vähendamise kaudu.

Lääneriikides on EK-s domineerivaks positsiooniks saanud B2B sektor, mis 2007. aastaks ulatub erinevatel hinnangutel 3–6 triljonini. dollarit. Esimesed, kes said oma äritegevuse üleviimisest Internetti kasu ettevõtted, mis müüsid riist- ja tarkvara ning osutasid arvuti- ja telekommunikatsiooniteenuseid.

Iga veebipood sisaldab kahte peamist komponendid:

elektrooniline kauplus ja kauplemissüsteem.

Elektrooniline poefassaad sisaldab teavet veebisaidil müüdavate kaupade kohta, võimaldab juurdepääsu kaupluse andmebaasile, registreerib kliente, töötab ostja elektroonilise "korviga", esitab tellimusi, kogub turundusteavet ja edastab teavet kauplemissüsteemi.

Kauplemissüsteem tarnib kaubad ja töötleb nende eest tasumist. Kauplemissüsteem on erinevatele ettevõtetele kuuluvate kaupluste kogum, mis rendib ruumi eraldi ettevõttele kuuluvas veebiserveris.

Veebipoe töötehnoloogia järgnevalt:

Ostja valib soovitud toote elektroonilisel kauplusel koos kaupade ja hindade kataloogiga (veebisaidil) ning täidab ankeedi isikuandmetega (täisnimi, posti- ja e-posti aadress, eelistatud tarne- ja makseviis). Kui tasumine toimub interneti kaudu, siis erilist tähelepanu pööratakse infoturbele.

Valmis kauba ülekandmine veebipoe kauplemissüsteemi,

kus tellimus täidetakse. Kauplemissüsteem töötab käsitsi või automaatselt. Manuaalne süsteem töötab Posyltorgi põhimõttel, kui automaatset süsteemi ei ole võimalik osta ja seadistada, reeglina siis, kui kauba maht on väike.

Kauba kohaletoimetamine ja tasumine. Kaup toimetatakse ostjani

ühel võimalikest viisidest:

* kaupluse kuller linnas ja lähiümbruses;

* spetsialiseeritud kullerteenus (ka välismaalt);

* korja üles;

* selline spetsiifiline teave edastatakse telekommunikatsioonivõrkude kaudu

toode teabena.

Kauba eest saab tasuda järgmistel viisidel:

* eelnev või kauba kättesaamise hetkel;

* sularaha kullerile või päris poodi külastades;

* postiülekandega;

* Pangatehing;

* kohapeal sularahas;

* krediitkaartide kasutamine (VISA, MASTER CARD jne);

elektrooniliste maksesüsteemide kaudu üksikute äriklientide kaudu

pangad (TELEBANK, ASSIST jne).

Viimasel ajal on maailmas üsna kiiresti arenenud e-kaubandus ehk kaubandus Interneti kaudu. Loomulikult on see protsess

läbi finantsasutuste otsesel osalusel. Ja see kauplemisviis muutub üha populaarsemaks, vähemalt seal, kus uut elektroonilist turgu saavad kasutada suur osa ettevõtetest ja elanikkonnast.

Äritegevus elektroonilistes võrkudes eemaldab mõned füüsilised piirangud. Ettevõtted, mis ühendavad oma arvutisüsteeme

Internet, suudavad pakkuda klientidele tuge 24 tundi ööpäevas ilma pühade ja nädalavahetusteta. Toodete tellimusi saab vastu võtta igal ajal ja kõikjal.

Sellel "mündil" on aga ka teine ​​pool. Välismaal, kus e-kaubandus on kõige laiemalt arenenud, on tehingud või kaupade maksumus sageli piiratud 300-400 dollariga. Põhjuseks on arvutivõrkude infoturbeprobleemide ebapiisav lahendus. ÜRO kuritegevuse ennetamise ja kontrolli komitee hinnangul on arvutikuritegevus jõudnud ühe rahvusvahelise probleemi tasemele. Ameerika Ühendriikides on seda tüüpi kuritegelik tegevus kasumlikkuse poolest relva- ja narkokaubanduse järel kolmandal kohal.

Ülemaailmse e-kaubanduse käibe maht Interneti kaudu 2006. a.

Forrester Tech. prognooside kohaselt võib see ulatuda 1,8–2 triljonini. dollarit nii laia prognoosivahemiku määrab e-kaubanduse majandusliku turvalisuse tagamise probleem. Kui turvalisuse tase jääb praegusele tasemele, võib ülemaailmne e-kaubanduse käive olla veelgi väiksem. Sellest järeldub, et just e-kaubanduse süsteemi madal turvalisus on e-äri arengut piirav tegur.

E-kaubanduse majandusliku turvalisuse tagamise probleemi lahendamine on seotud eelkõige selles kasutatavate infotehnoloogiate kaitse ehk infoturbe tagamise küsimuste lahendamisega.

Äriprotsesside integreerimine internetikeskkonda toob kaasa põhjaliku muutuse turvaolukorras. Elektroonilisel dokumendil põhinevate õiguste ja kohustuste loomine eeldab igakülgset kaitset nii dokumendi saatja kui ka saaja kõigi ohtude eest. Kahjuks teadvustavad e-kaubanduse ettevõtete juhid infoohtude tõsidust ja oma ressursside kaitse korraldamise tähtsust alles pärast seda, kui viimased on sattunud inforünnete alla. Nagu näete, on kõik loetletud takistused seotud infoturbe valdkonnaga.

Äritehingute tegemise põhinõuded hõlmavad konfidentsiaalsust, terviklikkust, autentimist, autoriseerimist, tagatisi ja saladust.

Infoturbe saavutamisel on selle kättesaadavuse tagamine, konfidentsiaalsus, terviklikkus ja õiguslik tähendus põhilised ülesandeid . Iga ohtu tuleb kaaluda selle seisukohast, kuidas see võib mõjutada neid nelja turvalise teabe omadust või omadust.

Konfidentsiaalsus tähendab, et piiranguga teave peaks olema juurdepääsetav ainult neile, kellele see on mõeldud. Under terviklikkus informatsiooni mõistetakse kui selle omadust eksisteerida moonutamata kujul. Kättesaadavus teabe määrab süsteemi võime pakkuda õigeaegset ja takistamatut juurdepääsu teabele subjektidele, kellel on selleks vastavad volitused. Õiguslik tähendus teave on viimasel ajal muutunud oluliseks koos infoturbe reguleeriva raamistiku loomisega meie riigis.

Kui esimesed neli nõuet on tehniliste vahenditega täidetud, siis kahe viimase täitmine sõltub nii tehnilistest võimalustest kui ka üksikisikute ja organisatsioonide vastutusest ning seaduste täitmisest, mis kaitsevad tarbijat müüjate võimaliku pettuse eest.

Igakülgse infoturbe tagamise raames tuleb esmalt välja tuua võti probleeme elektroonilise turvalisuse valdkonnas äri mis sisaldavad:

teabe kaitse selle edastamisel sidekanalite kaudu; arvutisüsteemide, andmebaaside ja elektroonilise dokumendihalduse kaitse;

teabe pikaajalise säilitamise tagamine elektroonilisel kujul; tehingute turvalisuse tagamine, äriteabe konfidentsiaalsus, autentimine, intellektuaalomandi kaitse jne.

E-kaubanduse ohte on mitut tüüpi:

 Tungimine süsteemi väljastpoolt.

 Volitamata juurdepääs ettevõtte sees.

 Info tahtlik pealtkuulamine ja lugemine.

 tahtlik andmete või võrkude katkestamine.

 Vale (pettuse eesmärgil) tuvastamine

kasutaja.

 Tarkvara- ja riistvarakaitse häkkimine.

 Kasutaja volitamata juurdepääs ühest võrgust teise.

 Viiruste rünnakud.

 Teenusest keeldumine.

 Finantspettus.

Nende ohtude vastu võitlemiseks kasutatakse mitmeid erinevatel tehnoloogiatel põhinevaid meetodeid, nimelt: krüpteerimine – andmete kodeerimine, mis takistab nende lugemist või moonutamist; digitaalallkirjad, mis kontrollivad saatja ja saaja identiteeti; elektroonilisi võtmeid kasutavad vargsi tehnoloogiad; tulemüürid; virtuaalsed ja privaatvõrgud.

Ükski kaitsemeetod pole universaalne, näiteks ei kontrolli tulemüürid viiruste suhtes ega suuda tagada andmete terviklikkust. Automaatse kaitse häkkimise vastu pole absoluutselt lollikindel võimalust ja on vaid aja küsimus, millal see sisse häkkitakse. Kuid aeg, mis kulub sellise kaitse purustamiseks, sõltub omakorda selle kvaliteedist. Peab ütlema, et tarkvara ja riistvara Interneti-ühenduste ja -rakenduste kaitsmiseks on arendatud pikka aega, kuigi uusi tehnoloogiaid võetakse kasutusele mõnevõrra ebaühtlaselt.

Milline ähvardused ootavad e-kaubandusega tegelevat ettevõtet igal etapil :

 e-poe serveri veebilehe asendamine (päringute suunamine teisele serverile), kliendi, eriti tema krediitkaartide kohta käiva teabe kolmandatele isikutele kättesaadavaks tegemine;

 e-poe töötajate valede tellimuste loomine ja mitmesugused pettused, näiteks andmebaasidega manipuleerimine (statistika näitab, et üle poole arvutiintsidentidest on seotud nende enda töötajate tegevusega);

 e-kaubanduse võrkude kaudu edastatavate andmete pealtkuulamine;

 ründajate tungimine ettevõtte sisevõrku ja elektroonikapoe komponentide kompromiteerimine;