امنیت اطلاعات در سیستم های تجارت الکترونیک "امنیت تجارت الکترونیکی. جهات اصلی حفاظت از اطلاعات

مقدمه……………………………………………………………………………………………………….
1. تجارت الکترونیک و تاریخچه توسعه آن…………………………………………………………………………………
1.1. تاریخچه تجارت الکترونیک…………………………………………………………………………………
2. امنیت تجارت الکترونیک………………………………………..8
2.1. خطرات و تهدیدها……………………………………………………………………………………………………………………
نتیجه…………………………………………………………………………………………………………………………………
فهرست مراجع………………………………………………………………………………………………………………………………………………

معرفی

اینترنت جهانی تجارت الکترونیک را برای شرکت ها در هر اندازه ای در دسترس قرار داده است. اگر قبلاً سازماندهی تبادل داده های الکترونیکی به سرمایه گذاری قابل توجهی در زیرساخت های ارتباطی نیاز داشت و فقط برای شرکت های بزرگ امکان پذیر بود، امروزه استفاده از اینترنت به شرکت های کوچک اجازه می دهد تا به صفوف "تجار الکترونیکی" بپیوندند. ویترین فروشگاه الکترونیکی در شبکه جهانی وب به هر شرکتی این فرصت را می دهد که مشتریان را از سراسر جهان جذب کند. چنین تجارت آنلاین یک کانال فروش جدید - "مجازی" را تشکیل می دهد که تقریباً به هیچ سرمایه گذاری مادی نیاز ندارد. اگر اطلاعات، خدمات یا محصولات (به عنوان مثال، نرم افزار) از طریق وب قابل تحویل باشد، کل فرآیند فروش (از جمله پرداخت) می تواند به صورت آنلاین انجام شود.
تعریف تجارت الکترونیک نه تنها شامل سیستم های اینترنت گرا، بلکه "فروشگاه های الکترونیکی" است که از سایر محیط های ارتباطی - BBS، VAN و غیره استفاده می کنند. در عین حال، رویه‌های فروش که با اطلاعات WWW آغاز می‌شوند، اما با استفاده از فکس، تلفن و غیره برای تبادل داده‌ها، تنها می‌توانند تا حدی به عنوان تجارت الکترونیک طبقه‌بندی شوند. همچنین متذکر می شویم که علیرغم اینکه WWW پایه تکنولوژیک تجارت الکترونیک است، تعدادی از سیستم ها از قابلیت های ارتباطی دیگری نیز استفاده می کنند. بنابراین، درخواست های فروشنده برای شفاف سازی پارامترهای محصول یا ثبت سفارش نیز می تواند از طریق ایمیل ارسال شود.
امروزه روش غالب پرداخت برای خریدهای آنلاین، کارت های اعتباری است. با این حال، ابزارهای پرداخت جدیدی نیز وارد صحنه می شوند: کارت هوشمند، پول نقد دیجیتال، پرداخت خرد و چک الکترونیکی.
تجارت الکترونیک فقط شامل معاملات آنلاین نیست. حوزه تحت پوشش این مفهوم همچنین باید شامل فعالیت هایی مانند انجام تحقیقات بازاریابی، شناسایی فرصت ها و شرکا، حفظ روابط با تامین کنندگان و مصرف کنندگان، سازماندهی جریان اسناد و غیره باشد. بنابراین، تجارت الکترونیک یک مفهوم پیچیده است و شامل داده های تبادل الکترونیکی به عنوان یک واحد است. از اجزای

تجارت الکترونیک و تاریخچه توسعه آن

تجارت الکترونیک نوعی فعالیت اقتصادی برای ارتقای کالاها و خدمات از تولیدکنندگان به مصرف کنندگان از طریق شبکه های کامپیوتری الکترونیکی است. به عبارت دیگر تجارت الکترونیک بازاریابی، کسب و فروش کالاها و خدمات از طریق شبکه های کامپیوتری و عمدتاً اینترنت است. تجارت الکترونیک فرصت های جدیدی را برای بهبود کارایی فعالیت های تجاری به طور کلی فراهم می کند.
برخلاف تجارت سنتی، تجارت الکترونیک فرصت های زیر را در اختیار شرکت ها قرار می دهد:
الف) محصولات خود را از طریق اینترنت بفروشید.
ب) توسعه و هماهنگی روابط با مصرف کنندگان و تامین کنندگان؛
ب) مبادله کالاها و خدمات به صورت الکترونیکی.
د) کاهش قیمت تحویل محصولات دیجیتال و پشتیبانی پس از فروش مشتری؛
د) واکنش سریع به تغییرات بازار؛
ه) کاهش هزینه های سربار؛
ز) خدمات مشتری را بهبود بخشید و خدمات خود را برای مشتریان معرفی کنید.
ح) دایره مصرف کنندگان را گسترش دهید.
I) نیازهای فردی خریدار را در نظر بگیرید.
تجارت الکترونیک به خریداران این امکان را می دهد که:
الف) کالا را در هر زمان و هر مکان بخرید.
ب) تجزیه و تحلیل مقایسه ای قیمت ها انجام دهید و بهترین را انتخاب کنید.
ج) دسترسی همزمان به طیف وسیعی از محصولات؛
د) مکانیسم های مناسب برای خرید را انتخاب کنید.
د) اطلاعات و اخبار را بسته به ترجیحات خود دریافت کنید.
1.1 تاریخچه تجارت الکترونیک

اولین سیستم های تجارت الکترونیک در دهه 1960 در ایالات متحده ظاهر شد. آنها در شرکت های حمل و نقل برای تبادل داده بین خدمات مختلف هنگام تهیه پرواز و رزرو بلیط استفاده می شدند.
در ابتدا، چنین تجارتی با استفاده از شبکه های خارج از اینترنت و با استفاده از استانداردهای ویژه برای تبادل الکترونیکی داده بین سازمان ها انجام می شد.
در اواخر دهه 1960، چهار استاندارد صنعتی در ایالات متحده برای تبادل داده بین شرکت های حمل و نقل مختلف وجود داشت. برای ترکیب این استانداردها، یک کمیته هماهنگ سازی داده های حمل و نقل ویژه در سال 1968 ایجاد شد. نتایج کار اساس استاندارد جدید EDI را تشکیل داد.
در دهه 1970 حوادث مشابهی در انگلستان رخ داد. در این کشور حوزه اصلی کاربرد EDI حمل و نقل نبود، بلکه تجارت بود. مجموعه مشخصات Tradacoms انتخاب شده در اینجا توسط کمیسیون اقتصادی سازمان ملل متحد برای اروپا به عنوان استانداردی برای تبادل داده در سازمان های تجاری بین المللی پذیرفته شده است.
در دهه 1980، کار برای ترکیب استانداردهای اروپایی و آمریکایی آغاز شد. در نتیجه این کار، چهل و دومین جلسه کارگروه تسهیل تجارت بین‌الملل در سپتامبر 1996 توصیه شماره 25 «استفاده از استاندارد سازمان ملل متحد برای تبادل الکترونیکی داده‌ها در مدیریت، بازرگانی و حمل‌ونقل» را به تصویب رساند.
بدین ترتیب. در اوایل دهه 1990، استاندارد EDI-FACT ظهور کرد و توسط ISO (ISO 9735) پذیرفته شد.
اما ادغام نهایی استانداردهای آمریکایی و اروپایی اتفاق نیفتاد. یک فرصت جدید و امیدوارکننده تر برای تبادل الکترونیکی داده ها پدید آمده است - تبادل داده از طریق اینترنت.
توسعه اینترنت با هزینه کم انتقال داده، نوسازی سیستم های EDI را ضروری کرده است. در نتیجه، در اواسط دهه 1990، استاندارد دیگری توسعه یافت - EDIFACT از طریق اینترنت (EDIINT)، که نحوه انتقال تراکنش EDI را با استفاده از پروتکل‌های ایمیل امن SMTP/S-MIME توضیح می‌دهد.
برای ظهور و رشد محبوبیت تجارت الکترونیک، تعدادی پیش نیاز جمعیت شناختی و فناوری وجود دارد، مانند:
الف) دسترسی گسترده به فناوری اطلاعات، به ویژه رایانه و اینترنت؛
ب) افزایش سطح تحصیلات جامعه و در نتیجه رسیدگی آزادتر به فناوری.
ج) پیشرفت تکنولوژی و انقلاب دیجیتال امکان تعامل بسیاری از دستگاه های دیجیتال مانند کامپیوتر، تلفن همراه و غیره را با یکدیگر فراهم کرده است.
د) جهانی شدن، اقتصاد باز، رقابت در مقیاس جهانی.
ه) دسترسی به تجارت الکترونیک برای هر کسی، در هر زمان و در هر مکان.
و) تمایل به صرفه جویی در زمان؛
ز) رشد در محدوده کالاها و خدمات، افزایش تقاضا برای کالاها و خدمات خاص.

امنیت تجارت الکترونیک

یکی از مشکلات اصلی تجارت الکترونیک امروزه مشکل امنیت است، یعنی. به حداقل رساندن خطرات و حفاظت از اطلاعات
دلایل اختلال در عملکرد عادی یک شرکت در اینترنت می تواند موارد زیر باشد: ویروس های رایانه ای، کلاهبرداری که منجر به خسارات مالی می شود. سرقت اطلاعات محرمانه؛ دخالت غیرقانونی در پرونده ها با اطلاعات محرمانه مصرف کنندگان و غیره
میزان حفاظت از وب سایت یک شرکت الکترونیکی به میزان محرمانه بودن اطلاعات آن و نیاز به رعایت آن بستگی دارد. بنابراین، به عنوان مثال، اگر شماره کارت اعتباری در یک وب سایت وارد شده است، باید از بالاترین درجه حفاظت برای وب سرور اطمینان حاصل شود.
وظایف حفظ امنیت در تجارت الکترونیک به احراز هویت کاربر، حفظ محرمانه بودن و یکپارچگی اطلاعات خلاصه می شود: احراز هویت - بررسی اصالت کاربر. محرمانه بودن - اطمینان از حفظ اطلاعات خصوصی ارائه شده توسط کاربر؛ یکپارچگی اطلاعات - عدم وجود تحریف در اطلاعات ارسال شده.
هکرها و ویروس ها می توانند یکپارچگی اطلاعات روی وب سرور را تهدید کنند.
یک هکر به رایانه ها و سرورهای ضعیف محافظت شده نفوذ می کند و برنامه های خاصی را نصب می کند - برنامه های نامرئی که تشخیص آنها بسیار دشوار است. به طور معمول، چنین برنامه نامرئی به وب سایت آسیب نمی رساند، اما ازدحام زیادی در شبکه ایجاد می کند. هکر هدف حمله خود را مشخص می کند و یک برنامه از پیش نصب شده را فعال می کند و دستوری را از طریق اینترنت به چندین رایانه ارسال می کند. این حمله ای را آغاز می کند که شبکه یک شرکت تجاری را بیش از حد بارگذاری می کند.
یکی دیگر از انواع جدی نقض امنیتی رایانه ها و سرورهای اینترنت، ویروس است. ویروس ها یکپارچگی سیستم را نقض می کنند و اقدامات امنیت اطلاعات را گمراه می کنند. بهترین وسیله برای محافظت در برابر ویروس ها نصب و به روز رسانی دوره ای برنامه های ضد ویروس و همچنین استفاده از فایروال ها است. فایروال فیلتری است که بین یک شبکه شرکتی و اینترنت نصب می شود تا از اطلاعات و فایل ها در برابر دسترسی غیرمجاز محافظت کند و فقط به افراد مجاز اجازه دسترسی دهد. بنابراین، فایروال از ورود ویروس‌ها و هکرها به شبکه سازمانی جلوگیری می‌کند و هنگام اتصال به اینترنت از آن در برابر نفوذ خارجی محافظت می‌کند.
هنگام پیاده سازی تجارت الکترونیک، یکی از مهمترین مسائل، محرمانه بودن اطلاعات است. اطلاعات ارائه شده توسط کاربر به شرکت باید به طور قابل اعتماد محافظت شود. یکی از راه‌های اطمینان از انتقال امن و محرمانه داده‌ها از طریق شبکه‌های کامپیوتری، رمزنگاری است. رمزگذاری یا رمزگذاری داده ها به گونه ای که فقط طرف های درگیر در یک تراکنش خاص بتوانند آن را بخوانند.
هنگام رمزگذاری، فرستنده پیام متن را به مجموعه ای از کاراکترها تبدیل می کند که بدون استفاده از کلید خاصی که گیرنده آن را می شناسد، قابل خواندن نیست. کلید رمز، دنباله ای از کاراکترهای ذخیره شده در هارد دیسک یا فلاپی دیسک کامپیوتر است. درجه امنیت اطلاعات به الگوریتم رمزگذاری و طول کلید بستگی دارد که بر حسب بیت اندازه گیری می شود.
دو نوع الگوریتم رمزگذاری وجود دارد:

متقارن، که در آن کلید یکسان، شناخته شده برای هر دو طرف، برای رمزگذاری و رمزگشایی اطلاعات استفاده می شود.
نامتقارن، که در آن از دو کلید، یکی برای رمزگذاری و دیگری برای رمزگشایی استفاده می شود. یکی از این کلیدها خصوصی (مخفی) و دومی باز (عمومی) است.

یکی از شناخته‌شده‌ترین و امیدوارکننده‌ترین روش‌های احراز هویت فرستنده پیام، امضای دیجیتال الکترونیکی (EDS) است - معادل الکترونیکی امضای دست‌نویس. اولین امضای دیجیتال در سال 1976 توسط ویتفیلد دیفی از دانشگاه استنفورد پیشنهاد شد. قانون فدرال فدراسیون روسیه "در مورد امضای دیجیتال الکترونیکی" بیان می کند که امضای دیجیتال الکترونیکی لازمه یک سند الکترونیکی است که برای محافظت از این سند در برابر جعل در نظر گرفته شده است که در نتیجه تبدیل رمزنگاری اطلاعات با استفاده از کلید خصوصی یک الکترونیکی به دست آمده است. امضای دیجیتال و امکان شناسایی صاحب گواهی کلید امضا و همچنین عدم تحریف اطلاعات در سند الکترونیکی.
فرآیند اعمال امضای دیجیتال الکترونیکی به شرح زیر است:
1. فرستنده یک پیام ایجاد می کند و آن را با کلید خصوصی خود رمزگذاری می کند که در عین حال امضای دیجیتال الکترونیکی فرستنده است. در این حالت، هم متن خود ارتباط و هم امضای دیجیتالی پیوست شده در انتهای سند رمزگذاری می شوند.
2. فرستنده نامه رمزگذاری شده و کلید عمومی خود را از طریق کانال های ارتباطی به گیرنده ارسال می کند.
3. گیرنده پیام را با استفاده از کلید عمومی فرستنده رمزگشایی می کند.
4. همراه با امضای دیجیتال، معمولاً از یکی از توابع Hash موجود استفاده می شود. تابع HASH در حین پردازش پیام، رشته ای از کاراکترها را تولید می کند که خلاصه پیام نامیده می شود. فرستنده خلاصه ای از پیام را ایجاد می کند، آن را رمزگذاری می کند و همچنین آن را به گیرنده ارسال می کند. گیرنده پیام را با همان تابع HASH پردازش می کند و همچنین خلاصه ای از پیام را دریافت می کند. اگر هر دو خلاصه پیام مطابقت داشته باشند، پیام بدون خرابی دریافت شده است.
5. گواهی های دیجیتال برای تایید مالکیت کلید عمومی برای یک شخص خاص یا شرکت تجاری استفاده می شود. گواهی دیجیتال سندی است که توسط یک مرجع صدور گواهی برای تأیید هویت یک شخص یا شرکت خاص با تأیید نام و کلید عمومی آن صادر می شود. برای دریافت گواهی دیجیتال باید با مرکز صدور گواهینامه تماس گرفته و اطلاعات لازم را ارائه دهید. هر مرجع گواهی قیمت های خود را تعیین می کند و به عنوان یک قاعده گواهی دیجیتال را برای یک سال با امکان تمدید پس از پرداخت برای سال بعد صادر می کند.
برای رسیدگی به مسائل امنیتی، شرکت های تجارت الکترونیک از فناوری SSL و SET استفاده می کنند.
پروتکل SSL پروتکل اصلی است که برای محافظت از داده های ارسال شده از طریق اینترنت استفاده می شود. این پروتکل مبتنی بر ترکیبی از الگوریتم های رمزگذاری نامتقارن و متقارن است. این سه عملکرد اصلی را ارائه می دهد: تأیید اعتبار سرور، تأیید اعتبار مشتری و اتصال رمزگذاری شده SSL.
پروتکل SET پروتکلی است که برای تراکنش بین بانک های تجاری و مشتریان کارت اعتباری استفاده می شود.

خطرات و تهدیدات

هر کسب و کاری با خطرات ناشی از رقابت، سرقت، بی ثباتی ترجیحات عمومی، بلایای طبیعی و غیره همراه است. با این حال، خطرات مرتبط با تجارت الکترونیک ویژگی ها و منابع خاص خود را دارند، از جمله:
سارقان
ناتوانی در جذب همراهان
خرابی تجهیزات
برق، خطوط ارتباطی یا خرابی شبکه.
وابستگی به خدمات تحویل
رقابت شدید.
خطاهای نرم افزاری
تغییر در سیاست و مالیات.
ظرفیت سیستم محدود

سارقان
محبوب ترین تهدید برای تجارت الکترونیک از هکرهای کامپیوتری ناشی می شود. هر شرکتی در معرض خطر حمله مجرمان قرار دارد و شرکت های بزرگ تجارت الکترونیک توجه هکرهای کامپیوتری در سطوح مختلف مهارت را به خود جلب می کنند.
دلایل این توجه متفاوت است. در برخی موارد این فقط یک "علاقه ورزشی خالص" است، در برخی دیگر میل به آسیب رساندن، سرقت پول یا خرید یک محصول یا خدمات رایگان است.
امنیت سایت با ترکیبی از اقدامات زیر تضمین می شود:
از اطلاعات مهم نسخه پشتیبان تهیه کنید.
خط مشی پرسنلی که به شما امکان می دهد فقط افراد وظیفه شناس را به کار جذب کنید و وظیفه شناسی کارکنان را تشویق کنید. خطرناک ترین تلاش های هک از داخل شرکت انجام می شود.
استفاده از نرم افزارهایی با قابلیت حفاظت از داده ها و به روز رسانی به موقع آن.
آموزش پرسنل برای شناسایی اهداف و شناسایی نقاط ضعف سیستم.
حسابرسی و ثبت نام برای شناسایی تلاش های موفق و ناموفق هک.
به طور معمول، هک به دلیل رمزهای عبور آسان، خطاهای رایج در پیکربندی و عدم به روز رسانی به موقع نسخه های نرم افزار موفقیت آمیز است. برای محافظت از خود در برابر یک سارق نه چندان پیچیده، کافی است اقدامات نسبتا ساده ای انجام دهید. به عنوان آخرین راه حل، همیشه باید یک نسخه پشتیبان از داده های حیاتی وجود داشته باشد.

ناتوانی در جذب همراهان
در حالی که حملات هکرها بزرگترین نگرانی هستند، اکثر شکست های تجارت الکترونیک هنوز از عوامل اقتصادی سنتی ناشی می شوند. ایجاد و بازاریابی یک سایت تجارت الکترونیکی بزرگ نیاز به هزینه زیادی دارد. شرکت‌ها سرمایه‌گذاری‌های کوتاه‌مدت را ترجیح می‌دهند و پس از تثبیت نام تجاری در بازار، رشد فوری مشتریان و درآمد را ارائه می‌دهند.
فروپاشی تجارت الکترونیک منجر به نابودی بسیاری از شرکت هایی شد که فقط در آن تخصص داشتند.

خرابی تجهیزات
کاملاً بدیهی است که خرابی بخش مهمی از یکی از رایانه های شرکتی که فعالیت آن بر روی اینترنت متمرکز است می تواند آسیب قابل توجهی به آن وارد کند.
حفاظت در برابر خرابی سایت‌هایی که تحت بار زیاد کار می‌کنند یا عملکردهای مهمی را انجام می‌دهند، با تکرار انجام می‌شود، به طوری که خرابی هیچ یک از اجزاء بر عملکرد کل سیستم تأثیر نمی‌گذارد. با این حال، در اینجا نیز لازم است ضررهای ناشی از خرابی احتمالی در مقایسه با هزینه های خرید تجهیزات اضافی ارزیابی شود.
راه اندازی بسیاری از رایانه های دارای Apache، PHP و MySQL نسبتاً آسان است. علاوه بر این، موتور تکثیر MySQL امکان همگام سازی کلی اطلاعات را در بین پایگاه های داده فراهم می کند. با این حال، تعداد زیاد رایانه ها همچنین به معنای هزینه های بالا برای نگهداری تجهیزات، زیرساخت شبکه و میزبانی است.
خرابی برق، خطوط ارتباطی، شبکه و خدمات تحویل
وابستگی به اینترنت به معنای وابستگی به بسیاری از ارائه دهندگان خدمات متصل به هم است، بنابراین اگر ارتباط با سایر نقاط جهان به طور ناگهانی قطع شود، کاری جز صبر کردن برای بازیابی آن وجود ندارد. همین امر در مورد قطعی برق و اعتصاب یا سایر قطعی ها و اعتصابات برق یا سایر اختلالات در شرکت تحویل نیز صدق می کند.
اگر بودجه کافی دارید، می توانید با چندین ارائه دهنده خدمات سروکار داشته باشید. این مستلزم هزینه های اضافی است، اما عملکرد بدون وقفه را در صورت خرابی یکی از آنها تضمین می کند. با نصب منابع برق بدون وقفه می توان از قطعی برق شدید محافظت کرد.

رقابت شدید
اگر یک کیوسک را در خیابان باز کنید، ارزیابی محیط رقابتی به خصوص دشوار نیست - رقبا همه کسانی هستند که همان محصول را در دید شما می فروشند. در مورد تجارت الکترونیک، وضعیت تا حدودی پیچیده تر است.
بسته به هزینه های حمل و نقل، نوسانات ارز و تفاوت در هزینه های نیروی کار، رقبا ممکن است در هر جایی قرار گیرند. اینترنت یک محیط بسیار رقابتی و به سرعت در حال توسعه است. در بخش های تجاری محبوب، تقریباً هر روز رقبای جدید ظاهر می شوند.
ارزیابی ریسک رقابت دشوار است. در اینجا صحیح ترین استراتژی پشتیبانی از سطح فعلی فناوری است.

خطاهای نرم افزاری
هنگامی که یک کسب و کار به نرم افزار وابسته است، در برابر اشکالات آن نرم افزار آسیب پذیر است.

با نصب نرم افزار قابل اعتماد، تست پس از هر تعویض سخت افزار معیوب، و به کارگیری روش های تست رسمی، احتمال خرابی های مهم را می توان به حداقل رساند. همراهی هرگونه نوآوری در سیستم با آزمایش کامل بسیار مهم است.
برای کاهش آسیب های ناشی از خرابی نرم افزار، باید فوراً از همه داده ها نسخه پشتیبان تهیه کنید. هنگام ایجاد هر گونه تغییر، باید تنظیمات برنامه قبلی را ذخیره کنید. برای تشخیص سریع خرابی های احتمالی، نظارت مداوم بر سیستم مورد نیاز است.

تغییر در سیاست مالیاتی
در بسیاری از کشورها، فعالیت های کسب و کار الکترونیکی توسط قانون تعریف نشده یا به اندازه کافی تعریف نشده است. با این حال، این وضعیت نمی تواند برای همیشه ادامه داشته باشد و حل و فصل موضوع منجر به مشکلات متعددی می شود که می تواند منجر به تعطیلی برخی از بنگاه ها شود. علاوه بر این، همیشه خطر مالیات بالاتر وجود دارد.
نمی توان از این مشکلات اجتناب کرد. در این شرایط، تنها اقدام معقول، نظارت دقیق بر وضعیت و مطابقت دادن فعالیت های شرکت با قانون خواهد بود. امکان لابی کردن برای منافع خود نیز باید بررسی شود.

ظرفیت سیستم محدود
در مرحله طراحی سیستم حتما باید احتمال رشد آن را در نظر بگیرید. موفقیت به طور جدایی ناپذیری با بارها مرتبط است، بنابراین سیستم باید امکان گسترش تجهیزات را فراهم کند.
با جایگزینی سخت افزار می توان به دستاوردهای محدودی در عملکرد دست یافت، اما سرعت حتی پیشرفته ترین رایانه ها نیز دارای محدودیت است، بنابراین نرم افزار باید توانایی توزیع بار را در چندین سیستم در زمان رسیدن به حد تعیین شده فراهم کند. به عنوان مثال، یک سیستم مدیریت پایگاه داده باید بتواند درخواست های چندین ماشین را به طور همزمان پردازش کند.
گسترش سیستم بدون دردسر نیست، اما برنامه ریزی به موقع در مرحله توسعه به شما امکان می دهد بسیاری از مشکلات مرتبط با افزایش تعداد مشتریان را پیش بینی کنید و از قبل از آنها جلوگیری کنید.

نتیجه
اگرچه اتصال به اینترنت به دلیل دسترسی به حجم عظیمی از اطلاعات مزایای بسیار زیادی را به همراه دارد، اما برای سایت هایی با سطح امنیتی پایین نیز خطرناک است. اینترنت از مشکلات امنیتی جدی رنج می برد که اگر نادیده گرفته شود، می تواند برای سایت های ناآماده فاجعه باشد. اشتباهات در طراحی TCP/IP، پیچیدگی مدیریت میزبان، آسیب پذیری در برنامه ها و تعدادی از عوامل دیگر روی هم، سایت های محافظت نشده را در برابر اقدامات مهاجمان آسیب پذیر می کند.
سازمان ها باید به سوالات زیر پاسخ دهند تا پیامدهای امنیتی اتصال به اینترنت را به درستی در نظر بگیرند:
آیا هکرها می توانند سیستم های داخلی را تخریب کنند؟
آیا ممکن است اطلاعات مهم یک سازمان در حین انتقال از طریق اینترنت به خطر بیفتد (اصلاح یا خوانده شود)؟
آیا امکان دخالت در کار سازمان وجود دارد؟
اینها همه سوالات مهمی هستند. راه حل های فنی زیادی برای مبارزه با مشکلات عمده امنیت اینترنت وجود دارد. با این حال، همه آنها قیمتی دارند. بسیاری از راه حل ها عملکرد را به منظور افزایش امنیت محدود می کنند. برخی دیگر نیاز به مصالحه قابل توجهی در مورد سهولت استفاده از اینترنت دارند. برخی دیگر نیاز به سرمایه گذاری منابع قابل توجهی دارند - زمان کار برای پیاده سازی و حفظ امنیت و پول برای خرید و نگهداری تجهیزات و برنامه ها.
هدف از یک خط مشی امنیت اینترنت این است که تصمیم بگیرد یک سازمان چگونه از خود محافظت کند. یک خط مشی معمولاً از دو بخش تشکیل شده است - اصول کلی و قوانین عملیاتی خاص (که معادل خط مشی خاصی است که در زیر توضیح داده شده است). اصول کلی رویکرد امنیت اینترنت را راهنمایی می کند. قوانین تعیین می کنند که چه چیزی مجاز و چه چیزی ممنوع است. قوانین ممکن است با رویه های خاص و دستورالعمل های مختلف تکمیل شوند.
درست است که نوع سومی از سیاست وجود دارد که در ادبیات امنیت اینترنت ظاهر می شود. این یک رویکرد فنی است. در این نشریه، رویکرد فنی به عنوان تحلیلی درک می شود که به اجرای اصول و قواعد خط مشی کمک می کند. به طور کلی برای مدیریت سازمانی بیش از حد فنی و پیچیده است که قابل درک نیست. بنابراین، نمی توان از آن به اندازه سیاست استفاده کرد. با این حال، هنگام توصیف راه‌حل‌های ممکن، شناسایی مبادلاتی که عنصر ضروری در توصیف سیاست هستند، ضروری است.
برای اینکه سیاست‌های اینترنتی مؤثر واقع شوند، سیاست‌گذاران باید مبادلاتی را که باید انجام دهند را درک کنند. این سیاست همچنین نباید با سایر اسناد حاکمیتی سازمان مغایرت داشته باشد. این نشریه تلاش می‌کند اطلاعاتی را در اختیار متخصصان فنی قرار دهد که باید برای سیاست‌گذاران اینترنتی توضیح دهند. این شامل یک طرح اولیه از سیاست است، که بر اساس آن می توان تصمیمات فنی خاصی را اتخاذ کرد.
اینترنت منبع مهمی است که شیوه کار بسیاری از افراد و سازمان ها را تغییر داده است. با این حال، اینترنت از مشکلات امنیتی جدی و گسترده ای رنج می برد. بسیاری از سازمان‌ها توسط مهاجمان مورد حمله قرار گرفته یا مورد بررسی قرار گرفته‌اند که باعث شده متحمل خسارات مالی سنگین شده و اعتبار خود را از دست بدهند. در برخی موارد، سازمان ها مجبور شدند به طور موقت اتصال خود را از اینترنت قطع کنند و مبالغ قابل توجهی را برای عیب یابی مشکلات پیکربندی هاست و شبکه صرف کردند. سایت هایی که از این مسائل بی اطلاع هستند یا آنها را نادیده می گیرند، خود را در معرض خطر حمله آنلاین توسط عوامل مخرب قرار می دهند. حتی سایت هایی که اقدامات امنیتی را اجرا کرده اند نیز به دلیل ظهور آسیب پذیری های جدید در برنامه های شبکه و تداوم برخی مهاجمان در معرض خطرات مشابهی قرار دارند.
مشکل اساسی این است که اینترنت برای یک شبکه امن طراحی نشده است. برخی از مشکلات آن در نسخه فعلی TCP/IP عبارتند از:
سهولت رهگیری داده ها و جعل آدرس های ماشین ها در شبکه - بخش عمده ای از ترافیک اینترنت داده های رمزگذاری نشده است. ایمیل ها، گذرواژه ها و فایل ها را می توان با استفاده از برنامه هایی که به راحتی در دسترس هستند رهگیری کرد.
آسیب‌پذیری ابزارهای TCP/IP - تعدادی از ابزارهای TCP/IP برای ایمن بودن طراحی نشده‌اند و می‌توانند توسط مهاجمان ماهر در معرض خطر قرار گیرند. ابزارهای مورد استفاده برای آزمایش به ویژه آسیب پذیر هستند.
فقدان خط مشی - بسیاری از سایت ها ناآگاهانه به گونه ای پیکربندی شده اند که بدون در نظر گرفتن امکان سوء استفاده از این دسترسی، دسترسی گسترده ای را از طریق اینترنت برای خود فراهم می کنند. بسیاری از سایت‌ها خدمات TCP/IP بیشتری را نسبت به آنچه نیاز دارند اجازه می‌دهند و هیچ تلاشی برای محدود کردن دسترسی به اطلاعات رایانه‌هایشان که می‌تواند به مهاجمان کمک کند، انجام نمی‌دهند.
پیکربندی دشوار است - کنترل‌های دسترسی میزبان پیچیده هستند. پیکربندی صحیح و تأیید اثربخشی تأسیسات اغلب دشوار است. ابزارهایی که به اشتباه پیکربندی شده اند ممکن است منجر به دسترسی غیرمجاز شود.

فهرست ادبیات استفاده شده
1. مطالب از سرور فناوری اطلاعات - http://www. citforum.ru
2. تجارت الکترونیک چیست؟ V. Zavaleev، مرکز فناوری اطلاعات. http://www.citforum.ru/ marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. کانتاروویچ A.A., Tsarev V.V. کتابهای درسی برای دانشگاهها: تجارت الکترونیک 2002، 320 صفحه.

| به لیست انتشارات

تضمین امنیت اطلاعات شرکت های تجاری، شبکه های خرده فروشی و زیرساخت های آنها

روندهای فعلی در توسعه تجارت در روسیه منجر به ادغام شرکت ها با افزایش تعداد شرکت ها در ترکیب آنها، ادغام دارایی های اپراتورهای مختلف، انجام ادغام و ادغام و ایجاد مراکز توزیع شبکه می شود. در نتیجه، الزامات فناوری اطلاعات و اهمیت آن در سازماندهی تجارت رو به افزایش است. پردازش جریان اطلاعات در هر شرکتی نیازمند سرعت بالا و دقت مطلق است.

عکس. 1.جریان اصلی اطلاعات در حال گردش در سیستم مدیریت یک شرکت شبکه است

مدیریت یک فروشگاه مدرن، شرکت تجارت عمده فروشی و شبکه توزیع شامل استفاده از سیستم های خودکار برای تجارت یکپارچه، انبار و حسابداری است. امروزه مدیران بر اساس داده های به دست آمده از سیستم های اطلاعاتی تصمیمات مدیریتی می گیرند. بنابراین، ساختار شرکت هر چه که باشد، حسابداری قراردادها، جابجایی موجودی، وجه نقد و حسابداری باید در یک فضای اطلاعاتی واحد انجام شود.

به منظور خودکارسازی مدیریت فرآیند معاملات، یک سیستم اطلاعاتی در شرکت ایجاد می شود که ممکن است شامل موارد زیر باشد:

- سیستم حسابداری و گزارش داخلی (شامل داده هایی در مورد حجم، ساختار و سرعت تولید و گردش کالا، هزینه ها و زیان های شرکت، درآمد ناخالص، سود خالص، سودآوری و غیره)
- سیستم اطلاعات بازاریابی (به شما امکان می دهد وضعیت فعلی، روندها و چشم انداز توسعه بازار را پیگیری کنید). این سیستم اطلاعاتی را می توان به عنوان یک سیستم اطلاعاتی نیز تعریف کرد، زیرا جمع آوری، پردازش و تجزیه و تحلیل داده ها در مورد فعالیت های رقبا را تضمین می کند.

داده های سیستم اطلاعاتی از پرسنل شرکت و از سیستم های اداری توزیع کنندگان می آید. در آینده، آنها برای مدیریت عملیاتی شرکت، کنترل و تجزیه و تحلیل فعالیت های شرکت به عنوان یک کل، دفاتر منطقه ای و توزیع کنندگان استفاده می شوند. مصرف کنندگان داده های شبکه اطلاعاتی مدیران و مدیران شرکت و توزیع کنندگان هستند. شکل های 1 و 2 جریان های اصلی اطلاعاتی را نشان می دهد که در سیستم مدیریت یک شرکت تجاری (شبکه تجاری) در گردش است و منابع اصلی و مصرف کنندگان آنها را نشان می دهد.

برای اتخاذ تصمیمات مدیریت استراتژیک، برای رئیس یک شرکت، مدیر مالی، حسابدار ارشد و مدیران ارشد ضروری است که تصویر کاملی از وضعیت شرکت و روندهای توسعه آن ارائه دهند (شکل 1).

کارگران در محل کار خود در بخش حسابداری، در طبقه فروش، در انبار، تنها با تکه‌های منفرد جریان اطلاعات عمومی سروکار دارند. وظایف و وظایف آنها معمولاً به پردازش و ثبت دریافت و مصرف کالا ، صدور صورتحساب ، کار بر روی صندوق فروش و غیره خلاصه می شود. (شکل 2.).

با توجه به ریسک‌های شرکت‌های تجاری و آسیب‌پذیری سیستم‌های اطلاعاتی، اتخاذ رویکردی که در آن شرکت به رویدادهای پس از وقوع واکنش نشان دهد، غیرمسئولانه به نظر می‌رسد. پس از وقوع آنها نتیجه این است که شرکت باید یک سیستم امنیت اطلاعات ایجاد کند. یکی از عناصر اصلی سیستم کنترل است.

توقف عملکرد یک سیستم اطلاعاتی می تواند عواقب جبران ناپذیری برای یک کسب و کار ایجاد کند. بنابراین، طبق گفته شرکت بیمه گرلینگ، اگر سیستم اطلاعاتی به طور کامل متوقف شود، شرکت های تجاری فقط می توانند 2.5 روز وجود داشته باشند.و برای بنگاه های تولیدی بدون چرخه تولید مستمر این رقم 5 روز است.

داده های اولیه برای ایجاد یک سیستم امنیت اطلاعات موثر باید ایده های روشن در مورد اهداف و ساختار آن، انواع تهدیدها و منابع آنها و اقدامات متقابل احتمالی باشد.

منابع تهدید می تواند خارجی و داخلی باشد.

شکل 2.سیستم تبادل داده برای کارکنان بخش های مختلف یک شرکت خرده فروشی یا زنجیره خرده فروشی

تهدیدهای خارجیاغلب از رقبا، گروه های جنایتکار، و مقامات فاسد در داخل مقامات قانونی و اداری می آیند. اقدامات تهدیدات خارجی می تواند با هدف رسانه ذخیره سازی غیرفعال، حذف اطلاعات در طول فرآیند تبادل، از بین بردن اطلاعات یا آسیب رساندن به رسانه ذخیره سازی آن باشد. تهدیدها می‌تواند متوجه کارکنان شرکت باشد و به شکل رشوه، تهدید، باج‌گیری، جستجوی اطلاعات به منظور به دست آوردن اطلاعاتی که یک اسرار تجاری را تشکیل می‌دهد، یا شامل اغوا کردن متخصصان برجسته و غیره بیان شود.

تهدیدات داخلیبزرگترین خطر را ایجاد کند. آنها می‌توانند از مدیران نالایق، پرسنل بی‌وجدان و غیر ماهر، اختلاس‌گران و کلاهبرداران، و وسایل تولید منسوخ شده باشند. کارکنان فردی با سطح بالایی از عزت نفس، به دلیل نارضایتی از جاه طلبی های خود (سطح حقوق، روابط با مدیریت، همکاران و غیره)، ممکن است فعالانه اطلاعات تجاری را در اختیار رقبا قرار دهند، سعی کنند اطلاعات مهم یا رسانه های منفعل را از بین ببرند. به عنوان مثال، یک ویروس کامپیوتری را معرفی کنید.

آسیب به منابع اطلاعاتی می تواند ناشی از موارد زیر باشد:

اجرای دسترسی غیرمجاز و حذف اطلاعات محرمانه؛
رشوه دادن به کارکنان به منظور دسترسی به اطلاعات محرمانه یا سیستم اطلاعاتی؛
با رهگیری اطلاعات در حال گردش در تاسیسات و سیستم های ارتباطی و رایانه ای با استفاده از ابزارهای فنی شناسایی و جمع آوری اطلاعات.
با استراق سمع مکالمات محرمانه ای که در اماکن اداری، وسایل نقلیه رسمی و شخصی، در آپارتمان ها و ویلاها انجام می شود.
از طریق فرآیندهای مذاکره، با استفاده از مدیریت بی دقت اطلاعات؛

منابع اصلی اطلاعات عبارتند از:افراد، اسناد، نشریات، رسانه های فنی، وسایل فنی، محصولات و ضایعات.

راه های اصلی به دست آوردن اطلاعات غیرمجاز عبارتند از:

- افشای اطلاعات محرمانه؛
- دسترسی غیرمجاز به منابع اطلاعاتی؛
- نشت اطلاعات محرمانه به دلیل تقصیر کارکنان شرکت.

ارتباط مشکل اتخاذ تدابیر برای تضمین امنیت اطلاعات را می توان با مثال های زیر نشان داد:

1. سرویس امنیتی اپراتور فدرال هر ماه از دو تا شش رویداد مربوط به نقض امنیت اطلاعات را شناسایی می کند.
2. در یک هایپر مارکت، یک دختر جوان در مورد کاستی های برنامه جفت کردن پایانه های صندوق پول در یک شبکه محلی "روشن" شد. در نتیجه کلاهبرداری ، این خانم در مدت سه ماه 900000 روبل "کسب" کرد.
3. یک صندوقدار جوان تغییراتی در برنامه نقدی ایجاد کرد و در یک ماه حدود 200000 روبل به شرکت خسارت وارد کرد. مدیر سیستم تنها در طی تحقیقاتی که دو ماه پس از اخراج صندوقدار انجام شد، متوجه این واقعیت شد.

بنابراین، رهبران کسب و کار باید اهمیت امنیت اطلاعات را درک کنند و یاد بگیرند که روندهای آینده را پیش بینی و مدیریت کنند. عملکرد موثر سیستم های امنیتی باید اولویت اصلی کل شرکت باشد.

زمینه های اصلی حفاظت از اطلاعات:

- حفاظت قانونی شامل موارد زیر است: قانون فدراسیون روسیه، اسناد نظارتی خود، از جمله: مقررات مربوط به حفظ اطلاعات محرمانه، فهرستی از اطلاعات تشکیل دهنده یک راز تجاری، دستورالعمل های مربوط به روش دسترسی کارکنان به اطلاعات محرمانه، مقررات مربوط به کار اداری. و جریان اسناد، تعهد عدم افشای کارکنان، اطلاعات محرمانه، یادآوری به کارمند در مورد حفظ اسرار تجاری و غیره؛
- حفاظت سازمانی شامل اقدامات رژیمی - اداری و سازمانی است. این موارد عبارتند از: سازماندهی یک سرویس امنیتی، سازماندهی کنترل داخلی و دسترسی، سازماندهی کار با کارکنان در مورد عدم افشای اطلاعات تشکیل دهنده اسرار تجاری و رسمی، سازماندهی کار با اسناد، سازماندهی کار برای تجزیه و تحلیل تهدیدهای خارجی و داخلی. ، و غیره.
- حفاظت فنی و مهندسی - شامل استفاده از ابزارهای مختلف فنی، الکترونیکی و نرم افزاری است که برای محافظت از اطلاعات طراحی شده اند.

اجرای یک برنامه امنیت اطلاعات باید بر اساس استفاده یکپارچه از سیستم ها و ابزارهای امنیتی بر اساس این فرض انجام شود که تنها با استفاده از یک ابزار یا معیار جداگانه یا ترکیبی ساده نمی توان سطح امنیتی مورد نیاز را تضمین کرد. از آنها هماهنگی سیستمیک آنها ضروری است. در این حالت، اجرای هر تهدیدی تنها در صورتی می تواند بر شی محافظت شده تأثیر بگذارد که تمام سطوح حفاظت غلبه کند.

امنیت هر سیستم تجارت الکترونیکی به عنوان یک کل در محافظت از انواع مختلف تداخل در داده های آن نهفته است. تمام این مداخلات را می توان به چند دسته تقسیم کرد:

· سرقت داده ها (به عنوان مثال، سرقت شماره کارت اعتباری از پایگاه داده).

تداخل (به عنوان مثال، اضافه بار داده های سایتی که برای چنین حجم زیادی از اطلاعات در نظر گرفته نشده است).

· تحریف داده ها (به عنوان مثال، تغییر مبالغ در فایل های پرداخت و فاکتور یا ایجاد گواهینامه ها یا سایت هایی که وجود ندارند برای پمپاژ اطلاعات به یک سایت خاص).

· تخریب داده ها (به عنوان مثال، در حین انتقال از سایت یا به سایت از کاربر).

· امتناع از اقدامات انجام شده (به عنوان مثال، از واقعیت ثبت سفارش یا دریافت کالا).

· سوء استفاده ناخواسته از امکانات سایت توسط یک کاربر با حسن نیت.

· دسترسی غیرمجاز به اطلاعات:

· کپی، به روز رسانی یا استفاده غیرمجاز از داده ها؛

· معاملات غیرمجاز؛

· مشاهده یا انتقال غیرمجاز داده ها (به عنوان مثال، نمایش نام واقعی بازدیدکنندگان به جای نام مستعار در یک چت یا انجمن).

در عین حال، نمی توان در نظر گرفت که در مسائل امنیتی در این زمینه تعدادی از مشکلات عینی ماهیت حقوقی وجود دارد - فناوری ها بسیار سریعتر از چارچوب قانونی در حال توسعه هستند، گرفتن یک مهاجم در آن دشوار است. عمل جنایت، و شواهد و آثار جنایت را می توان به راحتی بدون هیچ ردی از بین برد. همه این‌ها باعث می‌شود شرکت‌ها با دقت سیاستی برای حفاظت از تجارت الکترونیکی خود ایجاد کنند. امنیت کامل و مطلق دست نیافتنی است زیرا سیستم های تجارت الکترونیک بر روی انواع نرم افزارهای سفارشی و سفارشی از فروشندگان مختلف و تعداد قابل توجهی از خدمات خارجی ارائه شده توسط ارائه دهندگان خدمات یا شرکای تجاری ساخته شده اند. بخش قابل توجهی از این مؤلفه ها و خدمات معمولاً برای متخصصان فناوری اطلاعات شرکت مشتری غیرشفاف هستند، علاوه بر این، بسیاری از آنها اغلب توسط سازندگان آنها اصلاح و بهبود می یابند. بررسی کامل همه اینها از نظر نقایص امنیتی احتمالی غیرممکن است و از بین بردن همه این نقص ها حتی دشوارتر است. و حتی اگر این امکان وجود داشت، نمی توان عامل به اصطلاح انسانی را حذف کرد، زیرا همه سیستم ها توسط افراد ایجاد، تغییر و مدیریت می شوند و طبق تحقیقات موسسه امنیت رایانه، 81 درصد از پاسخ دهندگان خاطرنشان کردند که بیشترین نگرانی برای شرکت ها وجود دارد. تهدید داخلی است - اقدامات عمدی یا غیر عمدی کارکنان خود.

مشکل حفاظت در برابر تهدیدات داخلی دو جنبه دارد: فنی و سازمانی. جنبه فنی تمایل به حذف هرگونه امکان دسترسی غیرمجاز به اطلاعات است. برای این منظور از ابزارهای شناخته شده ای استفاده می شود:

حفظ رمز عبور و تغییر مرتب آنها؛ ارائه حداقل حقوق لازم برای اداره سیستم؛

در دسترس بودن رویه های استاندارد برای تغییر به موقع گروه دسترسی در هنگام تغییر پرسنل یا از بین بردن فوری دسترسی پس از اخراج یک کارمند.

جنبه سازمانی توسعه یک خط مشی امنیت داخلی منطقی است که به عملیات معمولی تبدیل می شود، از جمله روش های به ندرت استفاده شده برای محافظت و جلوگیری از حملات هکر توسط شرکت ها مانند:

· معرفی فرهنگ ایمنی عمومی در شرکت.

· تست نرم افزار برای هک.

· ردیابی هر تلاش هک (مهم نیست که چقدر موفقیت آمیز باشد) و بررسی کامل آن.

· آموزش سالانه کارکنان در مورد مسائل امنیتی و جرایم سایبری، از جمله اطلاعات در مورد علائم خاص حملات هکرها، به منظور به حداکثر رساندن تعداد کارمندانی که توانایی شناسایی چنین فعالیتی را دارند.

· معرفی رویه های روشن برای رسیدگی به موارد تغییر یا تخریب غیر عمدی اطلاعات.

برای محافظت در برابر نفوذ خارجی، امروزه سیستم‌های زیادی وجود دارند که اساساً انواع مختلفی از فیلترها هستند که به شناسایی تلاش‌های هک در مراحل اولیه کمک می‌کنند و در صورت امکان از ورود مهاجم به سیستم از طریق شبکه‌های خارجی جلوگیری می‌کنند.

· روترها - دستگاه های مدیریت ترافیک شبکه که بین شبکه های مرتبه دوم قرار دارند و ترافیک ورودی و خروجی بخش های شبکه متصل به آن را مدیریت می کنند.

· فایروال ها - ابزاری برای جداسازی شبکه های خصوصی از شبکه های عمومی با استفاده از نرم افزاری که با استفاده از کنترل خاصی بر انواع درخواست ها، حملات خارجی را در سایت کنترل و سرکوب می کند.

دروازه های برنامه ابزاری هستند که توسط آن مدیر شبکه سیاست امنیتی را پیاده سازی می کند که مسیریاب هایی را که فیلتر بسته ها را انجام می دهند هدایت می کند.

· سیستم های تشخیص نفوذ (IDS) - سیستم هایی که حملات عمدی و سوء استفاده ناخواسته از منابع سیستم توسط کاربران را شناسایی می کنند.

· ابزارهای ارزیابی امنیتی (اسکنرهای ویژه و غیره) - برنامه هایی که به طور منظم شبکه را برای مشکلات اسکن می کنند و اثربخشی سیاست امنیتی اجرا شده را آزمایش می کنند.

به طور کلی، اولین کاری که یک شرکت باید انجام دهد این است که بفهمد چه چیزی و از چه کسی باید محافظت شود. بازیگران اصلی در این زمینه سهامداران، مصرف کنندگان، کارکنان و شرکای تجاری شرکت هستند و برای هر یک از آنها لازم است طرح حفاظتی خود را توسعه دهند. تمام الزامات امنیتی باید مستند باشد تا به عنوان راهنمایی برای اجرای برنامه های کاربردی تجارت الکترونیک و اقدامات امنیتی آنها در خطوط مختلف تجاری شرکت باشد. علاوه بر این، این به شما این امکان را می دهد که بودجه جداگانه ای برای خدمات رسانی به مشکلات امنیتی در شرکت ایجاد کنید و هزینه ها را برای این نیازها بهینه سازی کنید، و در هنگام توسعه هر پروژه تجاری، موارد تکراری امنیتی را حذف کنید.

متأسفانه، رویه امروز به گونه‌ای است که سیاست امنیتی به مدیریت بخش فناوری اطلاعات واگذار شده است، که کارکنان آن معتقدند مسائل فناوری مهم‌تر از نوعی دستورالعمل «کاغذی» است و علاوه بر این، در زمینه‌های خاصی از تجارت متخصص نیستند. که همچنین نیازمند رویه های حفاظتی شفاف در داخل شرکت است.

علاوه بر این، هنگام جفت کردن نرم افزارهای مختلف، ممکن است مشکلات خاصی ایجاد شود که برای تولیدکنندگان هر یک از محصولات یکپارچه شناخته شده نیست. تحقیق در مورد چنین تعاملاتی باید مقدم بر هر تصمیم فنی و بودجه ای باشد. و تاکنون به این موضوع توجه بسیار کمی شده است.

انواع مختلفی از تهدیدات تجارت الکترونیک وجود دارد:

نفوذ به سیستم از بیرون.

دسترسی غیرمجاز در داخل شرکت

رهگیری و خواندن عمدی اطلاعات.

اختلال عمدی داده ها یا شبکه ها.

شناسایی نادرست کاربر (برای اهداف متقلبانه).

حفاظت از سخت افزار و نرم افزار هک.

دسترسی غیرمجاز کاربر از یک شبکه به شبکه دیگر.

حملات ویروسی

خود داری از خدمات.

کلاهبرداری مالی

برای مقابله با این تهدیدات، تعدادی از روش‌های مبتنی بر فناوری‌های مختلف استفاده می‌شود، یعنی: رمزگذاری - رمزگذاری داده‌ها که از خواندن یا تحریف آن‌ها جلوگیری می‌کند. امضای دیجیتالی که هویت فرستنده و گیرنده را تأیید می کند. فن آوری های پنهان با استفاده از کلیدهای الکترونیکی؛ فایروال ها شبکه های مجازی و خصوصی

هیچ روش حفاظتی جهانی نیست، برای مثال، فایروال ها ویروس ها را بررسی نمی کنند و نمی توانند از یکپارچگی داده ها اطمینان حاصل کنند. هیچ راه کاملا قابل اعتمادی برای مقابله با هک حفاظت خودکار وجود ندارد و هک شدن آن فقط یک مسئله زمان است. اما زمان لازم برای شکستن چنین محافظی به نوبه خود به کیفیت آن بستگی دارد. باید گفت که نرم افزار و سخت افزار برای محافظت از اتصالات و برنامه های کاربردی در اینترنت مدت هاست که توسعه یافته است، هرچند فناوری های جدید تا حدودی ناموزون معرفی می شوند.

چه تهدیداتی در انتظار شرکتی است که تجارت الکترونیکی را در هر مرحله انجام می دهد:

جایگزینی صفحه وب سرور فروشگاه الکترونیکی ( هدایت مجدد درخواست ها به سرور دیگر)، در دسترس قرار دادن اطلاعات مشتری به ویژه کارت های اعتباری وی در اختیار اشخاص ثالث.

ایجاد سفارشات نادرست و اشکال مختلف کلاهبرداری از سوی کارمندان یک فروشگاه الکترونیکی، به عنوان مثال، دستکاری پایگاه های داده (آمار نشان می دهد که بیش از نیمی از حوادث رایانه ای مربوط به فعالیت های کارمندان خودشان است).

رهگیری داده های منتقل شده از طریق شبکه های تجارت الکترونیک؛

نفوذ مهاجمان به شبکه داخلی شرکت و به خطر انداختن اجزای فروشگاه الکترونیکی؛

اجرای حملات انکار سرویس و اختلال در عملکرد یا غیرفعال کردن یک گره تجارت الکترونیک.

در نتیجه اجرای چنین تهدیداتی، شرکت اعتماد مشتری را از دست می دهد، پول ناشی از تراکنش های بالقوه و/یا ناقص را از دست می دهد، فعالیت فروشگاه الکترونیکی مختل می شود و زمان، پول و منابع انسانی را صرف بازیابی عملکرد می کند.

البته تهدیدات مرتبط با رهگیری اطلاعات ارسال شده از طریق اینترنت به بخش تجارت الکترونیک محدود نمی شود. از اهمیت ویژه ای در رابطه با دومی این واقعیت است که سیستم های آن حاوی اطلاعات با اهمیت اقتصادی زیادی هستند: شماره کارت اعتباری، شماره حساب، محتوای قراردادها و غیره.

1. ایمن سازی تجارت الکترونیک

تضمین امنیت نه تنها شرط لازم برای موفقیت کسب و کار الکترونیکی است، بلکه پایه و اساس روابط اعتماد بین طرفین است. ماهیت کسب و کار الکترونیکی شامل تبادل اطلاعات و تراکنش های فعال از طریق یک شبکه عمومی محافظت نشده است که بدون روابط اعتماد بین نهادهای تجاری به سادگی غیرممکن است. بنابراین، تامین امنیت پیچیده است، از جمله وظایفی مانند دسترسی به وب سرورها و برنامه های کاربردی وب، احراز هویت و مجوز کاربران، اطمینان از یکپارچگی و محرمانه بودن داده ها، اجرای امضای دیجیتال الکترونیکی و غیره.

با تجاری سازی روزافزون اینترنت، توجه بیشتری به حفاظت از اطلاعات ارسال شده از طریق شبکه معطوف می شود. پروتکل های تخصصی طراحی شده برای سازماندهی تعامل ایمن از طریق اینترنت (به عنوان مثال، SET، SOCKS5، SSL، SHTTP، و غیره) در سراسر جهان به رسمیت شناخته شده اند و با موفقیت توسط توسعه دهندگان خارجی برای ایجاد سیستم های الکترونیکی بانکداری و تجارت مبتنی بر اینترنت استفاده می شوند.

در خارج از کشور، مشکل امنیت اطلاعات کسب و کار الکترونیکی توسط یک کنسرسیوم مستقل - کارگروه امنیت اینترنت (ISTF) - یک سازمان عمومی متشکل از نمایندگان و کارشناسان شرکت های تامین کننده ابزارهای امنیت اطلاعات، کسب و کار الکترونیکی و خدمات اینترنتی در حال رسیدگی است. ارائه دهندگان

ISTF دوازده حوزه از امنیت اطلاعات را شناسایی می کند که باید کانون توجه اولیه باشد. سازمان دهندگان کسب و کار الکترونیکی:

مکانیزمی برای تأیید عینی اطلاعات شناسایی؛

حق داشتن اطلاعات شخصی و خصوصی؛

تعریف رویدادهای امنیتی؛

حفاظت از محیط شرکت؛

تعریف حملات؛

کنترل محتوای خطرناک u1086؛

کنترل دسترسی؛

مدیریت؛

واکنش به اتفاقات

مشخص است که استفاده از الگوریتم‌های امضای الکترونیکی دیجیتال (EDS) به فرد اجازه می‌دهد تا به طور قابل اعتماد در برابر بسیاری از تهدیدات محافظت کند، اما این تنها در صورتی صادق است که این الگوریتم‌ها در پروتکل‌های تعاملی مستدل، ساختار صحیح قانونی روابط و یک بسته منطقی بسته شوند. سیستم اعتماد

امنیت اطلاعات مبتنی بر منطق ساده فرآیندهای محاسبه یک امضای دیجیتال و تأیید آن با یک جفت کلید مربوطه است، با این حال، منطق مبتنی بر تحقیقات اساسی ریاضی است. فقط صاحب کلید خصوصی می تواند یک امضای دیجیتال را محاسبه کند و هر کسی که یک کلید عمومی مطابق با کلید خصوصی داشته باشد می تواند آن را تأیید کند.

البته متخصصان این حوزه باید در تامین امنیت اطلاعات مشارکت داشته باشند، اما رؤسای ارگان‌ها، بنگاه‌ها و مؤسسات دولتی صرف نظر از نوع مالکیت خود که مسئولیت امنیت اقتصادی برخی بنگاه‌های اقتصادی را برعهده دارند، باید دائماً این موضوعات را در اختیار داشته باشند. میدان دید آنها برای آنها، در زیر اجزای عملکردی اصلی سازماندهی یک سیستم جامع امنیت اطلاعات آمده است:

پروتکل های ارتباطی؛

ابزار رمزنگاری؛

ابزارهای کنترل دسترسی برای ایستگاه های کاری از شبکه های عمومی؛

مجتمع های آنتی ویروس؛

برنامه های شناسایی و ممیزی حمله؛

ابزارهایی برای مدیریت متمرکز کنترل دسترسی کاربر، و همچنین تبادل امن بسته های داده و پیام های هر برنامه کاربردی در شبکه های باز.

اینترنت مدت‌هاست که تعدادی کمیته، عمدتاً سازمان‌های داوطلب، دارد که فناوری‌های پیشنهادی را از طریق فرآیند استانداردسازی به دقت هدایت می‌کنند. این کمیته‌ها که بخش عمده‌ای از گروه ویژه مهندسی اینترنت (IETF) را تشکیل می‌دهند، چندین پروتکل مهم را استاندارد کرده‌اند و به پذیرش آن‌ها در اینترنت سرعت می‌بخشند.

پروتکل هایی مانند خانواده TCP/IP برای ارتباطات داده، SMTP (پروتکل حمل و نقل پست ساده) و POP (پروتکل اداره پست) برای ایمیل، و SNMP (پروتکل مدیریت شبکه ساده) برای مدیریت شبکه نتایج مستقیم تلاش های IETF هستند. نوع محصول امنیتی مورد استفاده بستگی به نیاز شرکت دارد.

پروتکل های امن انتقال داده در اینترنت محبوب هستند، یعنی SSL، SET، IP v.6. پروتکل های فهرست شده نسبتاً اخیراً به عنوان یک ضرورت برای محافظت از اطلاعات ارزشمند در اینترنت ظاهر شدند و بلافاصله به استانداردهای واقعی تبدیل شدند.

متأسفانه، در روسیه هنوز در مورد امکان معرفی اینترنت در حوزه‌هایی از فعالیت که مربوط به

انتقال، پردازش و ذخیره اطلاعات محرمانه. مشابه

این احتیاط نه تنها با محافظه کاری ساختارهای مالی داخلی که از باز بودن و دسترسی به اینترنت می ترسند توضیح داده می شود، بلکه تا حدی با این واقعیت توضیح داده می شود که اکثر نرم افزارهای امنیت اطلاعات شرکت های تولیدی غربی با محدودیت های صادراتی وارد بازار ما می شوند. الگوریتم های رمزنگاری اجرا شده در آنها. به عنوان مثال، در نسخه های صادراتی نرم افزار برای سرورها و مرورگرهای WWW از تولیدکنندگانی مانند Microsoft و Netscape Communications، محدودیت هایی در طول کلید برای الگوریتم های رمزگذاری تک کلید و دو کلید مورد استفاده توسط پروتکل SSL وجود دارد که ارائه کاملی را ارائه نمی دهد. محافظت در هنگام کار در اینترنت

با این حال، برنامه های کاربردی تجارت الکترونیک، علاوه بر تهدیدات داخلی، در معرض تهدیدات خارجی ناشی از اینترنت نیز هستند. و از آنجایی که اختصاص دادن شناسه ورود به هر بازدیدکننده ناشناس غیرمنطقی است (از آنجایی که برنامه رشد نمی کند)، شرکت ها باید از نوع دیگری از احراز هویت استفاده کنند. علاوه بر این، آماده سازی سرورها برای دفع حملات ضروری است. در نهایت، باید در مورد داده های حساس مانند شماره کارت اعتباری بسیار مراقب باشید.

رمزگذاری داده ها

وب سایت تجاری اطلاعات حساس (مانند شماره کارت اعتباری مصرف کننده) را پردازش می کند. انتقال چنین اطلاعاتی از طریق اینترنت بدون هیچ گونه حفاظتی می تواند منجر به عواقب جبران ناپذیری شود. هرکسی می‌تواند پیام را استراق سمع کند و در نتیجه به اطلاعات محرمانه دسترسی پیدا کند. بنابراین، داده ها باید رمزگذاری شده و از طریق یک کانال امن منتقل شوند. برای اجرای ایمن انتقال داده، از پروتکل لایه سوکت های امن (SSL) استفاده می شود.

برای اجرای این قابلیت، باید یک گواهی دیجیتال خریداری کنید و آن را روی سرور(های) خود نصب کنید. می توانید برای گواهی دیجیتال از یکی از مراجع صدور گواهینامه اقدام کنید. سازمان های معتبر صدور گواهینامه تجاری عبارتند از: VerySign، CyberTrust، GTE.

SSL طرحی برای پروتکل هایی مانند HTTP (در صورت ایمن بودن HTTPS نامیده می شود)، FTP و NNTP است. هنگام استفاده از SSL برای انتقال داده:

داده ها رمزگذاری شده است.

یک ارتباط امن بین سرور مبدا و سرور مقصد برقرار شده است.

احراز هویت سرور فعال است.

هنگامی که یک کاربر یک شماره کارت اعتباری را با استفاده از SSL ارسال می کند، داده ها بلافاصله رمزگذاری می شوند تا هکر نتواند محتوای آن را ببیند. SSL مستقل از پروتکل شبکه است.

نرم افزار سرور نت اسکیپ همچنین احراز هویت - گواهینامه ها و امضاهای دیجیتال - را فراهم می کند که هویت کاربر و یکپارچگی پیام را تأیید می کند و اطمینان می دهد که پیام مسیر خود را تغییر نداده است.

احراز هویت شامل تأیید هویت کاربر و امضای دیجیتالی برای تأیید صحت اسناد مربوط به تبادل اطلاعات و تراکنش‌های مالی است. امضای دیجیتال داده‌هایی است که می‌توان برای جلوگیری از جعل به یک سند پیوست.

تشخیص نفوذ

سیستم‌های تشخیص نفوذ (IDS) می‌توانند الگوها یا آثار حملات را شناسایی کرده و آلارم ایجاد کنند

اپراتورها را هشدار داده و روترها را تشویق می کند تا اتصالات خود را با منابع نفوذ غیرقانونی قطع کنند. این سیستم ها همچنین می توانند از تلاش برای ایجاد انکار سرویس جلوگیری کنند.

شرح کار

هدف این کار بررسی مفهوم تجارت الکترونیک و بررسی مسائل امنیت اطلاعات تجارت الکترونیک است.
وظایف:
- تعریف تجارت الکترونیک
- عناصر اصلی، انواع، جنبه های مثبت و منفی آن را در نظر بگیرید.
- انواع اصلی تهدیدها و راه های اصلی تضمین امنیت تجارت الکترونیک را در نظر بگیرید.

امنیت اطلاعات تجارت الکترونیک (EC)

تعداد کاربران اینترنت به چند صد میلیون رسیده است و کیفیت جدیدی در قالب «اقتصاد مجازی» پدیدار شده است. در آن، خرید از طریق سایت های خرید، با استفاده از مدل های جدید کسب و کار، استراتژی بازاریابی خود و غیره انجام می شود.

تجارت الکترونیک (EC) یک فعالیت تجاری برای فروش کالا از طریق اینترنت است. به عنوان یک قاعده، دو شکل EC وجود دارد:

* تجارت بین شرکت ها (تجارت به تجارت، B2B)؛

* تجارت بین شرکت ها و افراد، به عنوان مثال. مصرف کنندگان (کسب و کار به مصرف کننده، B2C).

EC مفاهیم جدیدی را به وجود آورده است:

* فروشگاه الکترونیکی - ویترین و سیستم های معاملاتی که توسط تولید کنندگان یا فروشندگان در مواقعی که تقاضا برای کالا وجود دارد استفاده می شود.

* کاتالوگ الکترونیکی - با مجموعه وسیعی از محصولات از تولید کنندگان مختلف.

* حراج الکترونیکی آنالوگ حراج کلاسیک با استفاده از فناوری های اینترنتی، با اتصال مشخصه به یک رابط چند رسانه ای، یک کانال دسترسی به اینترنت و نمایش ویژگی های محصول است.

* یک فروشگاه بزرگ الکترونیکی آنالوگ یک فروشگاه بزرگ معمولی است که در آن شرکت های معمولی کالاهای خود را با مارک محصول مؤثر (Gostiny Dvor، GUM و غیره) به نمایش می گذارند.

* جوامع مجازی (اجتماعی)، که در آن خریداران توسط گروه های ذینفع (کلوپ های هواداران، انجمن ها و غیره) سازماندهی می شوند.

اینترنت در زمینه EC مزایای قابل توجهی به همراه دارد:

* صرفه جویی برای شرکت های خصوصی بزرگ از انتقال خرید مواد اولیه و قطعات به صرافی های اینترنتی به 25 تا 30 درصد می رسد.

* شرکت در حراج تامین کنندگان رقیب از سراسر جهان در زمان واقعی منجر به کاهش قیمت هایی می شود که آنها برای عرضه کالا یا خدمات برنامه ریزی کرده اند.

* افزایش قیمت کالاها یا خدمات در نتیجه رقابت خریداران از سراسر جهان؛

* صرفه جویی با کاهش تعداد کارکنان مورد نیاز و حجم کاغذبازی.

جایگاه غالب در EC در کشورهای غربی به بخش B2B تبدیل شده است که تا سال 2007 طبق برآوردهای مختلف از 3 تا 6 تریلیون خواهد رسید. دلار اولین کسانی که از انتقال تجارت خود به اینترنت بهره مند شدند، شرکت های فروش سخت افزار و نرم افزار و ارائه خدمات کامپیوتری و مخابراتی بودند.

هر فروشگاه اینترنتی شامل دو فروشگاه اصلی است اجزاء:

ویترین و سیستم معاملات الکترونیکی.

ویترین فروشگاه الکترونیکی حاوی اطلاعاتی درباره کالاهای فروخته شده در وب سایت است، دسترسی به پایگاه داده فروشگاه را فراهم می کند، مشتریان را ثبت می کند، با «سبد» الکترونیکی خریدار کار می کند، سفارش می دهد، اطلاعات بازاریابی را جمع آوری می کند و اطلاعات را به سیستم معاملاتی انتقال می دهد.

سیستم معاملاتی کالاها را تحویل می دهد و پرداخت را برای آنها پردازش می کند. سیستم معاملاتی مجموعه‌ای از فروشگاه‌های متعلق به شرکت‌های مختلف است که فضایی را روی یک وب سرور متعلق به یک شرکت جداگانه اجاره می‌کنند.

فناوری عملکرد فروشگاه آنلاینبه شرح زیر است:

خریدار محصول مورد نظر را در ویترین فروشگاه الکترونیکی با کاتالوگ کالاها و قیمت ها (وب سایت) انتخاب می کند و فرمی را با اطلاعات شخصی (نام کامل، آدرس پستی و ایمیل، روش ترجیحی تحویل و پرداخت) پر می کند. اگر پرداخت از طریق اینترنت انجام شود، توجه ویژه ای به امنیت اطلاعات می شود.

انتقال کالاهای تکمیل شده به سامانه بازرگانی فروشگاه اینترنتی،

جایی که سفارش تکمیل می شود سیستم معاملاتی به صورت دستی یا خودکار عمل می کند. سیستم دستی طبق اصل Posyltorg عمل می کند، زمانی که خرید و راه اندازی یک سیستم خودکار غیرممکن است، به عنوان یک قاعده، زمانی که حجم کالاها کم است.

تحویل و پرداخت کالا. کالا به خریدار تحویل داده می شود

به یکی از راه های ممکن:

* فروشگاه پیک در شهر و مناطق اطراف.

* خدمات پیک تخصصی (از جمله خارج از کشور)؛

* سوار کردن؛

* چنین اطلاعات خاصی از طریق شبکه های مخابراتی ارائه می شود

محصول به عنوان اطلاعات

پرداخت کالا به روش های زیر انجام می شود:

* اولیه یا در زمان دریافت کالا؛

* پول نقد به پیک یا هنگام بازدید از یک فروشگاه واقعی.

* با انتقال پستی؛

* تراکنش بانکی؛

* پرداخت نقدی هنگام تحویل؛

* استفاده از کارت های اعتباری (VISA، MASTER CARD، و غیره)؛

از طریق سیستم های پرداخت الکترونیکی از طریق تجاری فردی

بانک ها (TELEBANK، ASSIST و غیره).

اخیراً تجارت الکترونیک یا تجارت از طریق اینترنت به سرعت در جهان توسعه یافته است. طبیعتا این روند

با مشارکت مستقیم موسسات مالی انجام می شود. و این روش تجارت به طور فزاینده ای محبوب می شود، حداقل در جایی که بازار الکترونیک جدید می تواند توسط بخش بزرگی از مشاغل و جمعیت استفاده شود.

فعالیت های تجاری در شبکه های الکترونیکی برخی محدودیت های فیزیکی را برطرف می کند. شرکت هایی که سیستم های کامپیوتری خود را به

اینترنت، قادر به پشتیبانی 24 ساعته بدون تعطیلات و تعطیلات آخر هفته به مشتریان است. سفارش محصولات را می توان در هر زمان و از هر نقطه ای پذیرفت.

با این حال، این «سکه» روی دیگری هم دارد. در خارج از کشور، جایی که تجارت الکترونیک به طور گسترده توسعه یافته است، معاملات یا هزینه کالاها اغلب به 300-400 دلار محدود می شود. این به دلیل راه حل ناکافی برای مشکلات امنیت اطلاعات در شبکه های کامپیوتری است. به گفته کمیته پیشگیری و کنترل جرم سازمان ملل، جرایم رایانه ای به سطح یکی از معضلات بین المللی رسیده است. در ایالات متحده این نوع فعالیت مجرمانه از نظر سودآوری پس از قاچاق اسلحه و مواد مخدر در رتبه سوم قرار دارد.

حجم گردش تجارت الکترونیک جهانی از طریق اینترنت در سال 2006،

طبق پیش‌بینی‌های Forrester Tech، می‌تواند بین 1.8 تا 2 تریلیون باشد. دلار چنین محدوده پیش بینی گسترده ای با مشکل تضمین امنیت اقتصادی تجارت الکترونیک تعیین می شود. اگر سطوح امنیتی در سطوح فعلی باقی بماند، گردش مالی تجارت الکترونیک جهانی ممکن است حتی کمتر شود. بنابراین، امنیت پایین سیستم تجارت الکترونیکی است که عامل محدود کننده ای در توسعه تجارت الکترونیکی است.

حل مشکل تضمین امنیت اقتصادی تجارت الکترونیک در درجه اول با حل مسائل حفاظت از فناوری های اطلاعاتی مورد استفاده در آن، یعنی تضمین امنیت اطلاعات، همراه است.

ادغام فرآیندهای تجاری در محیط اینترنت منجر به تغییر اساسی در وضعیت امنیتی می شود. ایجاد حقوق و مسئولیت ها بر اساس یک سند الکترونیکی مستلزم حفاظت همه جانبه در برابر تمامی تهدیدات، چه فرستنده سند و چه گیرنده آن است. متأسفانه، مدیران شرکت های تجارت الکترونیکی به درستی از جدی بودن تهدیدات اطلاعاتی و اهمیت سازماندهی حفاظت از منابع خود تنها پس از اینکه منابع خود در معرض حملات اطلاعاتی قرار می گیرند، آگاه هستند. همانطور که می بینید، تمام موانع ذکر شده مربوط به حوزه امنیت اطلاعات است.

الزامات اساسی برای انجام معاملات تجاری شامل محرمانه بودن، صداقت، احراز هویت، مجوز، تضمین و رازداری است.

هنگام دستیابی به امنیت اطلاعات، اطمینان از در دسترس بودن، محرمانه بودن، یکپارچگی و اهمیت قانونی آن پایه ای وظایف . هر تهدیدی باید از نظر نحوه تأثیرگذاری بر این چهار ویژگی یا کیفیت اطلاعات امن در نظر گرفته شود.

محرمانه بودنبه این معنی که اطلاعات محدود شده باید فقط برای کسانی قابل دسترسی باشد که برای آنها در نظر گرفته شده است. زیر تمامیتاطلاعات به عنوان ویژگی وجودی آن به شکل تحریف نشده درک می شود. دسترسیاطلاعات با توانایی سیستم برای فراهم کردن دسترسی به موقع و بدون مانع به اطلاعات برای افراد دارای اختیار مناسب برای انجام این کار تعیین می شود. اهمیت حقوقیاطلاعات اخیراً همراه با ایجاد چارچوب نظارتی برای امنیت اطلاعات در کشور ما اهمیت یافته است.

اگر چهار الزام اول را بتوان با ابزارهای فنی برآورده کرد، در این صورت تحقق دو مورد آخر هم به ابزار فنی و مسئولیت افراد و سازمان ها و هم به رعایت قوانینی بستگی دارد که از مصرف کنندگان در برابر کلاهبرداری احتمالی توسط فروشندگان محافظت می کند.

به عنوان بخشی از تضمین امنیت اطلاعات جامع، اول از همه، لازم است که کلید را برجسته کنیم مشکلات در حوزه امنیت الکترونیک کسب و کار که شامل:

حفاظت از اطلاعات در هنگام انتقال آن از طریق کانال های ارتباطی؛ حفاظت از سیستم های کامپیوتری، پایگاه های داده و مدیریت اسناد الکترونیکی؛

اطمینان از ذخیره سازی طولانی مدت اطلاعات به شکل الکترونیکی؛ تضمین امنیت معاملات، محرمانه بودن اطلاعات تجاری، احراز هویت، حفاظت از مالکیت معنوی و غیره.

انواع مختلفی از تهدیدات تجارت الکترونیک وجود دارد:

 نفوذ به سیستم از بیرون.

 دسترسی غیرمجاز در داخل شرکت.

 رهگیری و خواندن عمدی اطلاعات.

 اختلال عمدی داده ها یا شبکه ها.

 شناسایی نادرست (برای اهداف متقلبانه).

کاربر.

 هک نرم افزار و حفاظت سخت افزاری.

 دسترسی غیرمجاز کاربر از یک شبکه به شبکه دیگر.

 حملات ویروسی

 انکار خدمات

 کلاهبرداری مالی

برای مقابله با این تهدیدات، تعدادی از روش‌های مبتنی بر فناوری‌های مختلف استفاده می‌شود، یعنی: رمزگذاری - رمزگذاری داده‌ها که از خواندن یا تحریف آن‌ها جلوگیری می‌کند. امضای دیجیتالی که هویت فرستنده و گیرنده را تأیید می کند. فن آوری های پنهان با استفاده از کلیدهای الکترونیکی؛ فایروال ها شبکه های مجازی و خصوصی

هیچ روش حفاظتی جهانی نیست، برای مثال، فایروال ها ویروس ها را بررسی نمی کنند و نمی توانند از یکپارچگی داده ها اطمینان حاصل کنند. هیچ راه کاملا قابل اعتمادی برای مقابله با هک حفاظت خودکار وجود ندارد و هک شدن آن فقط یک مسئله زمان است. اما زمان لازم برای شکستن چنین محافظی به نوبه خود به کیفیت آن بستگی دارد. باید گفت که نرم افزار و سخت افزار برای محافظت از اتصالات و برنامه های کاربردی در اینترنت مدت هاست که توسعه یافته است، هرچند فناوری های جدید تا حدودی ناموزون معرفی می شوند.

کدام تهدیدها در کمین یک شرکت تجارت الکترونیکی هستند در هر مرحله :

 جایگزینی صفحه وب سرور فروشگاه الکترونیکی (تغییر مسیر درخواست ها به سرور دیگر)، در دسترس قرار دادن اطلاعات مشتری، به ویژه در مورد کارت های اعتباری وی در اختیار اشخاص ثالث.

 ایجاد سفارشات نادرست و اشکال مختلف کلاهبرداری از سوی کارکنان یک فروشگاه الکترونیکی، به عنوان مثال، دستکاری در پایگاه های داده (آمار نشان می دهد که بیش از نیمی از حوادث رایانه ای مربوط به فعالیت های کارمندان خودشان است).

 رهگیری داده های منتقل شده از طریق شبکه های تجارت الکترونیک؛

 نفوذ مهاجمان به شبکه داخلی شرکت و به خطر انداختن اجزای فروشگاه الکترونیکی؛