ई-कॉमर्स प्रणालियों में सूचना सुरक्षा। “इलेक्ट्रॉनिक वाणिज्य सुरक्षा। सूचना सुरक्षा की मुख्य दिशाएँ

परिचय………………………………………………………………..3
1.इलेक्ट्रॉनिक वाणिज्य और इसके विकास का इतिहास……………………………… ..5
1.1. ई-कॉमर्स का इतिहास………………………………………………6
2. ई-कॉमर्स सुरक्षा…………………………………….8
2.1. जोखिम और धमकियाँ………………………………………………………… 11
निष्कर्ष……………………………………………………………….17
सन्दर्भों की सूची…………………………………………………………20

परिचय

वैश्विक इंटरनेट ने ई-कॉमर्स को किसी भी आकार की कंपनियों के लिए सुलभ बना दिया है। यदि पहले इलेक्ट्रॉनिक डेटा विनिमय के संगठन के लिए संचार बुनियादी ढांचे में महत्वपूर्ण निवेश की आवश्यकता होती थी और यह केवल बड़ी कंपनियों के लिए संभव था, तो आज इंटरनेट का उपयोग छोटी कंपनियों को "इलेक्ट्रॉनिक व्यापारियों" की श्रेणी में शामिल होने की अनुमति देता है। वर्ल्ड वाइड वेब पर एक इलेक्ट्रॉनिक स्टोरफ्रंट किसी भी कंपनी को दुनिया भर से ग्राहकों को आकर्षित करने का अवसर देता है। ऐसा ऑन-लाइन व्यवसाय एक नया बिक्री चैनल बनाता है - "आभासी", जिसके लिए लगभग किसी भौतिक निवेश की आवश्यकता नहीं होती है। यदि जानकारी, सेवाएँ या उत्पाद (उदाहरण के लिए, सॉफ़्टवेयर) वेब के माध्यम से वितरित किए जा सकते हैं, तो पूरी बिक्री प्रक्रिया (भुगतान सहित) ऑनलाइन हो सकती है।
ई-कॉमर्स की परिभाषा में न केवल इंटरनेट-उन्मुख सिस्टम शामिल हैं, बल्कि "इलेक्ट्रॉनिक स्टोर" भी शामिल हैं जो अन्य संचार वातावरण - बीबीएस, वैन, आदि का उपयोग करते हैं। साथ ही, डब्ल्यूडब्ल्यूडब्ल्यू की जानकारी द्वारा शुरू की गई बिक्री प्रक्रियाएं, लेकिन डेटा एक्सचेंज के लिए फैक्स, टेलीफोन इत्यादि का उपयोग करके, केवल आंशिक रूप से ई-कॉमर्स के रूप में वर्गीकृत किया जा सकता है। हम यह भी ध्यान देते हैं कि, इस तथ्य के बावजूद कि डब्ल्यूडब्ल्यूडब्ल्यू ई-कॉमर्स का तकनीकी आधार है, कई प्रणालियाँ अन्य संचार क्षमताओं का भी उपयोग करती हैं। इस प्रकार, विक्रेता को उत्पाद मापदंडों को स्पष्ट करने या ऑर्डर देने का अनुरोध ईमेल के माध्यम से भी भेजा जा सकता है।
आज, ऑनलाइन खरीदारी के लिए भुगतान का प्रमुख साधन क्रेडिट कार्ड हैं। हालाँकि, नए भुगतान उपकरण भी परिदृश्य में प्रवेश कर रहे हैं: स्मार्ट कार्ड, डिजिटल कैश, माइक्रोपेमेंट और इलेक्ट्रॉनिक चेक।
ई-कॉमर्स में केवल ऑनलाइन लेनदेन ही शामिल नहीं है। इस अवधारणा के अंतर्गत आने वाले क्षेत्र में विपणन अनुसंधान करना, अवसरों और भागीदारों की पहचान करना, आपूर्तिकर्ताओं और उपभोक्ताओं के साथ संबंध बनाए रखना, दस्तावेज़ प्रवाह को व्यवस्थित करना आदि जैसी गतिविधियाँ भी शामिल होनी चाहिए। इस प्रकार, ई-कॉमर्स एक जटिल अवधारणा है और इसमें इलेक्ट्रॉनिक विनिमय डेटा भी शामिल है। घटकों का.

ई-कॉमर्स इलेक्ट्रॉनिक कंप्यूटर नेटवर्क के माध्यम से उत्पादकों से उपभोक्ताओं तक वस्तुओं और सेवाओं को बढ़ावा देने के लिए एक प्रकार की आर्थिक गतिविधि है। दूसरे शब्दों में, ई-कॉमर्स कंप्यूटर नेटवर्क, मुख्य रूप से इंटरनेट के माध्यम से वस्तुओं और सेवाओं का विपणन, अधिग्रहण और बिक्री है। ई-कॉमर्स सामान्य रूप से व्यावसायिक गतिविधियों की दक्षता में सुधार के लिए नए अवसर प्रदान करता है।
पारंपरिक वाणिज्य के विपरीत, ई-कॉमर्स कंपनियों को निम्नलिखित अवसर प्रदान करता है:
ए) इंटरनेट के माध्यम से अपने उत्पाद बेचें;
बी) उपभोक्ताओं और आपूर्तिकर्ताओं के साथ संबंध विकसित और समन्वयित करना;
बी) वस्तुओं और सेवाओं का इलेक्ट्रॉनिक रूप से आदान-प्रदान करें;
डी) डिजिटल उत्पादों की डिलीवरी और बिक्री के बाद ग्राहक सहायता की कीमत कम करें;
डी) बाजार में बदलावों पर तुरंत प्रतिक्रिया दें;
ई) ओवरहेड लागत कम करें;
जी) ग्राहक सेवा में सुधार करें और ग्राहकों के लिए अपनी स्वयं की सेवाएं शुरू करें;
एच) उपभोक्ताओं के दायरे का विस्तार करें;
I) खरीदार की व्यक्तिगत जरूरतों को ध्यान में रखें;
ई-कॉमर्स खरीदारों को इसकी अनुमति देता है:
ए) किसी भी समय और कहीं भी सामान खरीदें;
बी) कीमतों का तुलनात्मक विश्लेषण करें और सर्वोत्तम चुनें;
सी) उत्पादों की एक विस्तृत श्रृंखला तक एक साथ पहुंच प्राप्त करें;
डी) खरीदारी करने के लिए सुविधाजनक तंत्र चुनें;
डी) अपनी प्राथमिकताओं के आधार पर जानकारी और समाचार प्राप्त करें।
1.1 ई-कॉमर्स का इतिहास

पहला ई-कॉमर्स सिस्टम 1960 के दशक में संयुक्त राज्य अमेरिका में सामने आया। इनका उपयोग परिवहन कंपनियों में उड़ानों की तैयारी करते समय और टिकट बुक करने के लिए विभिन्न सेवाओं के बीच डेटा का आदान-प्रदान करने के लिए किया जाता था।
प्रारंभ में, संगठनों के बीच इलेक्ट्रॉनिक डेटा विनिमय के लिए विशेष मानकों का उपयोग करते हुए, इस तरह का वाणिज्य इंटरनेट के बाहर नेटवर्क का उपयोग करके आयोजित किया गया था।
1960 के दशक के अंत तक, विभिन्न परिवहन कंपनियों के बीच डेटा विनिमय के लिए संयुक्त राज्य अमेरिका में चार उद्योग मानक थे। इन मानकों को संयोजित करने के लिए, 1968 में एक विशेष परिवहन डेटा हार्मोनाइज़ेशन समिति बनाई गई थी। कार्य के परिणामों ने नए ईडीआई मानक का आधार बनाया।
1970 के दशक में इंग्लैंड में भी ऐसी ही घटनाएँ घटीं। इस देश में ईडीआई के अनुप्रयोग का मुख्य क्षेत्र परिवहन नहीं, बल्कि व्यापार था। यहां चयनित ट्रेडाकॉम विनिर्देशों के सेट को यूरोप के लिए संयुक्त राष्ट्र आर्थिक आयोग द्वारा अंतरराष्ट्रीय व्यापार संगठनों में डेटा विनिमय के लिए एक मानक के रूप में अपनाया गया है।
1980 के दशक में, यूरोपीय और अमेरिकी मानकों को मिलाने पर काम शुरू हुआ। इस कार्य के परिणामस्वरूप, सितंबर 1996 में अंतर्राष्ट्रीय व्यापार सुविधा पर कार्य दल के 42वें सत्र ने सिफारिश संख्या 25 को अपनाया, "प्रशासन, वाणिज्य और परिवहन में इलेक्ट्रॉनिक डेटा इंटरचेंज के लिए संयुक्त राष्ट्र मानक का उपयोग।"
इस प्रकार। 1990 के दशक की शुरुआत में, EDI-FACT मानक उभरा और ISO (ISO 9735) द्वारा अपनाया गया।
लेकिन अमेरिकी और यूरोपीय मानकों का अंतिम विलय नहीं हुआ। इलेक्ट्रॉनिक डेटा विनिमय के लिए एक नया, अधिक आशाजनक अवसर सामने आया है - इंटरनेट के माध्यम से डेटा विनिमय।
डेटा ट्रांसमिशन की कम लागत के साथ इंटरनेट के विकास ने ईडीआई प्रणालियों के आधुनिकीकरण को जरूरी बना दिया है। परिणामस्वरूप, 1990 के दशक के मध्य में, एक और मानक विकसित किया गया - EDIFACT ओवर इंटरनेट (EDIINT), जो बताता है कि SMTP/S-MIME सुरक्षित ईमेल प्रोटोकॉल का उपयोग करके EDI लेनदेन कैसे प्रसारित किया जाए।
ई-कॉमर्स की लोकप्रियता के उद्भव और विकास के लिए, कई जनसांख्यिकीय और तकनीकी पूर्वापेक्षाएँ हैं, जैसे:
क) सूचना प्रौद्योगिकी, विशेष रूप से कंप्यूटर और इंटरनेट तक व्यापक पहुंच;
बी) समाज की शिक्षा के स्तर में वृद्धि और, परिणामस्वरूप, प्रौद्योगिकी का अधिक मुक्त संचालन;
ग) तकनीकी प्रगति और डिजिटल क्रांति ने कई डिजिटल उपकरणों के लिए एक-दूसरे के साथ बातचीत करना संभव बना दिया है, जैसे कंप्यूटर, मोबाइल फोन, आदि;
घ) वैश्वीकरण, खुली अर्थव्यवस्था, वैश्विक स्तर पर प्रतिस्पर्धा;
ई) किसी के लिए भी, किसी भी समय और किसी भी स्थान पर ई-कॉमर्स की पहुंच।
च) समय बचाने की इच्छा;
छ) वस्तुओं और सेवाओं की श्रेणी में वृद्धि, विशेष वस्तुओं और सेवाओं की बढ़ती मांग।

आज ई-कॉमर्स की मुख्य समस्याओं में से एक सुरक्षा की समस्या बनी हुई है। जोखिमों को कम करना और जानकारी की सुरक्षा करना।
इंटरनेट पर किसी कंपनी के सामान्य कामकाज में व्यवधान के कारण हो सकते हैं: कंप्यूटर वायरस, वित्तीय नुकसान के लिए धोखाधड़ी; गोपनीय जानकारी की चोरी; उपभोक्ताओं आदि के बारे में गोपनीय जानकारी वाली फाइलों में अवैध हस्तक्षेप।
किसी इलेक्ट्रॉनिक कंपनी की वेबसाइट की सुरक्षा का स्तर उसकी जानकारी की गोपनीयता के स्तर और उसके अनुपालन की आवश्यकता पर निर्भर करता है। इसलिए, उदाहरण के लिए, यदि किसी वेबसाइट पर क्रेडिट कार्ड नंबर दर्ज किए जाते हैं, तो वेब सर्वर के लिए उच्चतम स्तर की सुरक्षा सुनिश्चित करना आवश्यक है।
ई-कॉमर्स में सुरक्षा बनाए रखने के कार्य उपयोगकर्ता प्रमाणीकरण, सूचना की गोपनीयता और अखंडता बनाए रखने तक आते हैं: प्रमाणीकरण - उपयोगकर्ता की प्रामाणिकता की जाँच करना; गोपनीयता - उपयोगकर्ता द्वारा प्रदान की गई निजी जानकारी का संरक्षण सुनिश्चित करना; सूचना की अखंडता - प्रेषित सूचना में विकृतियों का अभाव।
हैकर्स और वायरस वेब सर्वर पर जानकारी की अखंडता के लिए खतरा पैदा कर सकते हैं।
एक हैकर कमजोर रूप से संरक्षित कंप्यूटर और सर्वर में प्रवेश करता है और विशेष प्रोग्राम इंस्टॉल करता है - अदृश्य, जिनका पता लगाना काफी मुश्किल होता है। आमतौर पर, ऐसा अदृश्य प्रोग्राम वेबसाइट को नुकसान नहीं पहुंचाता है, लेकिन नेटवर्क पर भारी भीड़ पैदा करता है। हैकर अपने हमले का लक्ष्य निर्धारित करता है और एक पूर्व-स्थापित प्रोग्राम को सक्रिय करता है, इंटरनेट पर कई कंप्यूटरों पर एक कमांड भेजता है। इससे एक ऐसा हमला शुरू होता है जो एक वाणिज्यिक उद्यम के नेटवर्क पर अधिभार डालता है।
इंटरनेट पर कंप्यूटर और सर्वर की सुरक्षा में एक और गंभीर प्रकार का उल्लंघन एक वायरस है। वायरस सिस्टम की अखंडता का उल्लंघन करते हैं और सूचना सुरक्षा उपायों को गुमराह करते हैं। वायरस से बचाव का सबसे अच्छा साधन एंटी-वायरस प्रोग्राम इंस्टॉल करना और समय-समय पर अपडेट करना है, साथ ही फ़ायरवॉल का उपयोग करना है। फ़ायरवॉल एक कॉर्पोरेट नेटवर्क और इंटरनेट के बीच सूचना और फ़ाइलों को अनधिकृत पहुंच से बचाने और केवल अधिकृत व्यक्तियों तक पहुंच की अनुमति देने के लिए स्थापित एक फ़िल्टर है। इस प्रकार, फ़ायरवॉल कंप्यूटर वायरस और हैकर्स को एंटरप्राइज़ नेटवर्क में प्रवेश करने से रोकता है और इंटरनेट से कनेक्ट होने पर बाहरी प्रभाव से बचाता है।
ई-कॉमर्स को लागू करते समय, सबसे महत्वपूर्ण मुद्दों में से एक सूचना गोपनीयता है। उपयोगकर्ता द्वारा कंपनी को प्रदान की गई जानकारी विश्वसनीय रूप से संरक्षित होनी चाहिए। कंप्यूटर नेटवर्क पर सुरक्षित और गोपनीय डेटा ट्रांसमिशन सुनिश्चित करने का एक तरीका क्रिप्टोग्राफी है, यानी। डेटा को एन्क्रिप्ट या एन्कोड करना ताकि केवल किसी विशेष लेनदेन में शामिल पक्ष ही इसे पढ़ सकें।
एन्क्रिप्ट करते समय, संदेश भेजने वाला पाठ को वर्णों के एक सेट में परिवर्तित करता है जिसे प्राप्तकर्ता को ज्ञात एक विशेष कुंजी का उपयोग किए बिना पढ़ा नहीं जा सकता है। सिफर की कुंजी कंप्यूटर की हार्ड ड्राइव या फ़्लॉपी डिस्क पर संग्रहीत वर्णों का एक क्रम है। सूचना सुरक्षा की डिग्री एन्क्रिप्शन एल्गोरिथ्म और बिट्स में मापी गई कुंजी लंबाई पर निर्भर करती है।
एन्क्रिप्शन एल्गोरिदम दो प्रकार के होते हैं:

संदेश भेजने वाले को प्रमाणित करने के सबसे प्रसिद्ध और आशाजनक तरीकों में से एक इलेक्ट्रॉनिक डिजिटल हस्ताक्षर (ईडीएस) है - हस्तलिखित हस्ताक्षर का इलेक्ट्रॉनिक समकक्ष। पहला डिजिटल हस्ताक्षर 1976 में स्टैनफोर्ड विश्वविद्यालय के व्हिटफील्ड डिफी द्वारा प्रस्तावित किया गया था। रूसी संघ के संघीय कानून "इलेक्ट्रॉनिक डिजिटल हस्ताक्षर पर" में कहा गया है कि इलेक्ट्रॉनिक डिजिटल हस्ताक्षर एक इलेक्ट्रॉनिक दस्तावेज़ की एक आवश्यकता है जिसका उद्देश्य इस दस्तावेज़ को जालसाजी से बचाना है, जो इलेक्ट्रॉनिक की निजी कुंजी का उपयोग करके जानकारी के क्रिप्टोग्राफ़िक परिवर्तन के परिणामस्वरूप प्राप्त किया जाता है। डिजिटल हस्ताक्षर और हस्ताक्षर कुंजी प्रमाणपत्र के मालिक की पहचान करने की अनुमति देता है, और इलेक्ट्रॉनिक दस्तावेज़ में जानकारी के विरूपण की अनुपस्थिति को भी स्थापित करता है।
इलेक्ट्रॉनिक डिजिटल हस्ताक्षर लगाने की प्रक्रिया इस प्रकार है:
1. प्रेषक एक संदेश बनाता है और उसे अपनी निजी कुंजी से एन्क्रिप्ट करता है, जो उसी समय प्रेषक का इलेक्ट्रॉनिक डिजिटल हस्ताक्षर होता है। इस मामले में, संचार का पाठ और दस्तावेज़ के अंत में संलग्न डिजिटल हस्ताक्षर दोनों एन्क्रिप्टेड हैं।
2. प्रेषक एन्क्रिप्टेड पत्र और उसकी सार्वजनिक कुंजी को संचार चैनलों के माध्यम से प्राप्तकर्ता तक पहुंचाता है;
3. प्राप्तकर्ता प्रेषक की सार्वजनिक कुंजी का उपयोग करके संदेश को डिक्रिप्ट करता है।
4. डिजिटल हस्ताक्षर के साथ, आमतौर पर मौजूदा हैश फ़ंक्शन में से एक का उपयोग किया जाता है। संदेश को संसाधित करते समय HASH फ़ंक्शन वर्णों की एक स्ट्रिंग उत्पन्न करता है, जिसे संदेश सारांश कहा जाता है। प्रेषक संदेश का सारांश बनाता है, उसे एन्क्रिप्ट करता है और प्राप्तकर्ता को अग्रेषित भी करता है। प्राप्तकर्ता संदेश को उसी HASH फ़ंक्शन के साथ संसाधित करता है और संदेश का सारांश भी प्राप्त करता है। यदि दोनों संदेश सारांश मेल खाते हैं, तो संदेश बिना किसी भ्रष्टाचार के प्राप्त हुआ था।
5. डिजिटल प्रमाणपत्र का उपयोग किसी विशिष्ट व्यक्ति या वाणिज्यिक उद्यम के लिए सार्वजनिक कुंजी के स्वामित्व की पुष्टि करने के लिए किया जाता है। डिजिटल प्रमाणपत्र एक प्रमाणन प्राधिकारी द्वारा किसी विशिष्ट व्यक्ति या उद्यम के नाम और सार्वजनिक कुंजी को सत्यापित करके उसकी पहचान की पुष्टि करने के लिए जारी किया गया एक दस्तावेज है। डिजिटल प्रमाणपत्र प्राप्त करने के लिए, आपको प्रमाणन केंद्र से संपर्क करना होगा और आवश्यक जानकारी प्रदान करनी होगी। प्रत्येक प्रमाणपत्र प्राधिकारी अपनी कीमतें निर्धारित करता है और, एक नियम के रूप में, अगले वर्ष के लिए भुगतान के बाद नवीनीकरण की संभावना के साथ एक वर्ष के लिए एक डिजिटल प्रमाणपत्र जारी करता है।
सुरक्षा मुद्दों के समाधान के लिए, ई-कॉमर्स कंपनियां एसएसएल और एसईटी तकनीक का उपयोग करती हैं।
एसएसएल प्रोटोकॉल इंटरनेट पर प्रसारित डेटा की सुरक्षा के लिए उपयोग किया जाने वाला मुख्य प्रोटोकॉल है। यह प्रोटोकॉल असममित और सममित एन्क्रिप्शन एल्गोरिदम के संयोजन पर आधारित है। यह तीन मुख्य कार्य प्रदान करता है: सर्वर प्रमाणीकरण, क्लाइंट प्रमाणीकरण और एसएसएल एन्क्रिप्टेड कनेक्शन।
SET प्रोटोकॉल एक प्रोटोकॉल है जिसका उपयोग वाणिज्यिक बैंकों और क्रेडिट कार्ड ग्राहकों के बीच लेनदेन के लिए किया जाता है।

कोई भी व्यवसाय प्रतिस्पर्धा, चोरी, सार्वजनिक प्राथमिकताओं की अस्थिरता, प्राकृतिक आपदाओं आदि से उत्पन्न जोखिमों से जुड़ा होता है। हालाँकि, ई-कॉमर्स से जुड़े जोखिमों की अपनी विशेषताएं और स्रोत हैं, जिनमें शामिल हैं:
चोर।
साथियों को आकर्षित करने में असमर्थता.
उपकरण विफलता.
बिजली, संचार लाइनें या नेटवर्क विफलता।
वितरण सेवाओं पर निर्भरता.
कड़ी प्रतिस्पर्धा।
सॉफ़्टवेयर त्रुटियाँ.
नीति और कराधान में परिवर्तन.
सीमित सिस्टम क्षमता.

चोरों
ई-कॉमर्स के लिए सबसे लोकप्रिय खतरा कंप्यूटर हैकर्स से है। कोई भी उद्यम अपराधियों द्वारा हमले के खतरे के अधीन है, और बड़े ई-कॉमर्स उद्यम विभिन्न कौशल स्तरों के कंप्यूटर हैकरों का ध्यान आकर्षित करते हैं।
इस ध्यान के कारण विविध हैं। कुछ मामलों में यह केवल "शुद्ध खेल हित" है, दूसरों में नुकसान पहुंचाने, पैसे चुराने या मुफ्त में कोई उत्पाद या सेवा खरीदने की इच्छा है।
साइट की सुरक्षा निम्नलिखित उपायों के संयोजन से सुनिश्चित की जाती है:
महत्वपूर्ण जानकारी का बैकअप लें.
कार्मिक नीति जो आपको केवल कर्तव्यनिष्ठ लोगों को काम करने के लिए आकर्षित करने और कर्मचारियों की कर्तव्यनिष्ठा को प्रोत्साहित करने की अनुमति देती है। सबसे खतरनाक हैकिंग के प्रयास कंपनी के भीतर से होते हैं।
डेटा सुरक्षा क्षमताओं वाले सॉफ़्टवेयर का उपयोग करना और इसे समय पर अपडेट करना।
लक्ष्यों की पहचान करने और सिस्टम की कमजोरियों को पहचानने के लिए कर्मियों को प्रशिक्षण देना।
सफल और असफल हैकिंग प्रयासों का पता लगाने के लिए ऑडिटिंग और लॉगिंग।
आमतौर पर, अनुमान लगाने में आसान पासवर्ड, सामान्य कॉन्फ़िगरेशन त्रुटियों और सॉफ़्टवेयर संस्करणों को समय पर अपडेट करने में विफलता के कारण हैकिंग सफल होती है। किसी गैर-परिष्कृत चोर से खुद को बचाने के लिए, अपेक्षाकृत सरल उपाय करना ही काफी है। अंतिम उपाय के रूप में, महत्वपूर्ण डेटा की हमेशा एक बैकअप प्रतिलिपि होनी चाहिए।

साथियों को आकर्षित करने में असमर्थता
जबकि हैकर हमले सबसे बड़ी चिंता का विषय हैं, अधिकांश ई-कॉमर्स विफलताएं अभी भी पारंपरिक आर्थिक कारकों से उत्पन्न होती हैं। एक बड़ी ई-कॉमर्स साइट बनाने और मार्केटिंग करने के लिए बहुत अधिक धन की आवश्यकता होती है। कंपनियां अल्पकालिक निवेश पसंद करती हैं, ब्रांड के बाजार में स्थापित होने के बाद ग्राहकों और राजस्व में तत्काल वृद्धि की पेशकश करती हैं।
ई-कॉमर्स के पतन के कारण कई कंपनियाँ बर्बाद हो गईं जो केवल इसमें विशेषज्ञता रखती थीं।

उपकरण विफलता
यह बिल्कुल स्पष्ट है कि जिस कंपनी की गतिविधियाँ इंटरनेट पर केंद्रित हैं, उसके कंप्यूटरों में से किसी एक के महत्वपूर्ण हिस्से की विफलता से उसे काफी नुकसान हो सकता है।
उच्च लोड के तहत संचालित होने वाली या महत्वपूर्ण कार्य करने वाली साइटों के लिए डाउनटाइम के विरुद्ध सुरक्षा डुप्लिकेशन द्वारा प्रदान की जाती है, ताकि किसी भी घटक की विफलता पूरे सिस्टम की कार्यक्षमता को प्रभावित न करे। हालाँकि, यहां भी अतिरिक्त उपकरण खरीदने की लागत की तुलना में संभावित डाउनटाइम से होने वाले नुकसान का मूल्यांकन करना आवश्यक है।
Apache, PHP और MySQL चलाने वाले बहुत से कंप्यूटरों को स्थापित करना अपेक्षाकृत आसान है। इसके अलावा, MySQL का प्रतिकृति इंजन डेटाबेस में जानकारी के सामान्य सिंक्रनाइज़ेशन की अनुमति देता है। हालाँकि, बड़ी संख्या में कंप्यूटरों का मतलब उपकरण, नेटवर्क बुनियादी ढांचे और होस्टिंग के रखरखाव के लिए उच्च लागत भी है।
बिजली, संचार लाइनें, नेटवर्क और वितरण सेवा विफलताएँ
इंटरनेट पर निर्भरता का अर्थ है कई परस्पर जुड़े सेवा प्रदाताओं पर निर्भरता, इसलिए यदि शेष दुनिया के साथ संपर्क अचानक टूट जाता है, तो इसके बहाल होने की प्रतीक्षा करने के अलावा कुछ नहीं है। यही बात बिजली कटौती और हड़ताल या अन्य बिजली कटौती और हड़ताल या डिलीवरी कंपनी में अन्य व्यवधानों पर भी लागू होती है।
यदि आपके पास पर्याप्त बजट है, तो आप कई सेवा प्रदाताओं के साथ सौदा कर सकते हैं। इसमें अतिरिक्त लागत शामिल है, लेकिन उनमें से किसी एक की विफलता की स्थिति में निर्बाध संचालन सुनिश्चित होता है। निर्बाध बिजली आपूर्ति स्थापित करके अत्यधिक बिजली कटौती से बचा जा सकता है।

कड़ी प्रतिस्पर्धा
यदि आप सड़क पर एक कियोस्क खोलते हैं, तो प्रतिस्पर्धी माहौल का आकलन करना विशेष रूप से मुश्किल नहीं है - प्रतिस्पर्धी हर कोई होगा जो दृष्टि में समान उत्पाद बेचता है। ई-कॉमर्स के मामले में स्थिति कुछ अधिक जटिल है।
शिपिंग लागत, मुद्रा में उतार-चढ़ाव और श्रम लागत में अंतर के आधार पर, प्रतिस्पर्धी कहीं भी स्थित हो सकते हैं। इंटरनेट एक अत्यधिक प्रतिस्पर्धी और तेजी से विकसित होने वाला वातावरण है। लोकप्रिय व्यावसायिक क्षेत्रों में, लगभग प्रतिदिन नए प्रतिस्पर्धी उभरते हैं।
प्रतिस्पर्धा जोखिम का आकलन करना कठिन है। यहां सबसे सही रणनीति प्रौद्योगिकी के वर्तमान स्तर का समर्थन करना है।

सॉफ़्टवेयर त्रुटियाँ
जब कोई व्यवसाय सॉफ़्टवेयर पर निर्भर होता है, तो वह उस सॉफ़्टवेयर में बग के प्रति संवेदनशील होता है।

विश्वसनीय सॉफ़्टवेयर स्थापित करके, दोषपूर्ण हार्डवेयर के प्रत्येक प्रतिस्थापन के बाद परीक्षण करके और औपचारिक परीक्षण प्रक्रियाओं को नियोजित करके गंभीर विफलताओं की संभावना को कम किया जा सकता है। किसी भी नवाचार को सिस्टम में गहन परीक्षण के साथ शामिल करना बहुत महत्वपूर्ण है।
सॉफ़्टवेयर विफलताओं से होने वाली क्षति को कम करने के लिए, आपको तुरंत सभी डेटा का बैकअप लेना चाहिए। कोई भी परिवर्तन करते समय, आपको पिछले प्रोग्राम कॉन्फ़िगरेशन को सहेजना होगा। संभावित खराबी का तुरंत पता लगाने के लिए सिस्टम की निरंतर निगरानी की आवश्यकता होती है।

कर नीति में बदलाव
कई देशों में, ई-व्यावसायिक गतिविधियाँ कानून द्वारा परिभाषित नहीं हैं या पर्याप्त रूप से परिभाषित नहीं हैं। हालाँकि, यह स्थिति हमेशा के लिए बनी नहीं रह सकती है, और इस मुद्दे के समाधान से कई समस्याएं पैदा होंगी जिसके कारण कुछ उद्यम बंद हो सकते हैं। इसके अलावा, ऊंचे करों का खतरा भी हमेशा बना रहता है.
इन समस्याओं से बचा नहीं जा सकता. इस स्थिति में, कार्रवाई का एकमात्र उचित तरीका स्थिति की सावधानीपूर्वक निगरानी करना और उद्यम की गतिविधियों को कानून के अनुरूप लाना होगा। अपने हितों के लिए पैरवी की संभावना भी तलाशी जानी चाहिए।

सीमित सिस्टम क्षमता
सिस्टम डिज़ाइन चरण में, आपको निश्चित रूप से इसके विकास की संभावना पर विचार करना चाहिए। सफलता का भार से अटूट संबंध है, इसलिए सिस्टम को उपकरण विस्तार की अनुमति देनी चाहिए।
हार्डवेयर को प्रतिस्थापित करके सीमित प्रदर्शन लाभ प्राप्त किया जा सकता है, लेकिन सबसे उन्नत कंप्यूटर की गति की भी एक सीमा होती है, इसलिए सॉफ़्टवेयर को निर्दिष्ट सीमा तक पहुंचने पर कई प्रणालियों में लोड वितरित करने की क्षमता प्रदान करनी चाहिए। उदाहरण के लिए, एक डेटाबेस प्रबंधन प्रणाली को एक साथ कई मशीनों से अनुरोधों को संसाधित करने में सक्षम होना चाहिए।
सिस्टम का विस्तार दर्द रहित नहीं है, लेकिन विकास चरण में समय पर योजना बनाने से आप ग्राहकों की संख्या में वृद्धि से जुड़ी कई परेशानियों का पूर्वानुमान लगा सकते हैं और उन्हें पहले से ही रोक सकते हैं।

निष्कर्ष
यद्यपि इंटरनेट से जुड़ने से भारी मात्रा में जानकारी तक पहुंच के कारण भारी लाभ मिलता है, लेकिन यह कम सुरक्षा स्तर वाली साइटों के लिए खतरनाक भी है। इंटरनेट गंभीर सुरक्षा समस्याओं से ग्रस्त है, जिसे अगर नजरअंदाज किया जाए, तो यह बिना तैयारी वाली साइटों के लिए संकट पैदा कर सकता है। टीसीपी/आईपी के डिजाइन में त्रुटियां, मेजबान प्रशासन की जटिलता, कार्यक्रमों में कमजोरियां और कई अन्य कारक मिलकर असुरक्षित साइटों को हमलावरों के कार्यों के प्रति संवेदनशील बनाते हैं।
इंटरनेट कनेक्टिविटी के सुरक्षा निहितार्थों पर उचित रूप से विचार करने के लिए संगठनों को निम्नलिखित प्रश्नों का उत्तर देना होगा:
क्या हैकर्स आंतरिक सिस्टम को नष्ट कर सकते हैं?
क्या इंटरनेट पर प्रसारित होने के दौरान किसी संगठन की महत्वपूर्ण जानकारी से समझौता किया जा सकता है (संशोधित किया जा सकता है या पढ़ा जा सकता है)?
क्या संगठन के काम में हस्तक्षेप करना संभव है?
ये सभी महत्वपूर्ण प्रश्न हैं. प्रमुख इंटरनेट सुरक्षा समस्याओं से निपटने के लिए कई तकनीकी समाधान हैं। हालाँकि, वे सभी एक कीमत पर आते हैं। सुरक्षा बढ़ाने के लिए कई समाधान कार्यक्षमता को सीमित करते हैं। दूसरों को इंटरनेट के उपयोग में आसानी के संबंध में महत्वपूर्ण समझौते करने की आवश्यकता है। फिर भी दूसरों को महत्वपूर्ण संसाधनों के निवेश की आवश्यकता होती है - सुरक्षा को लागू करने और बनाए रखने के लिए कार्य समय और उपकरण और कार्यक्रमों को खरीदने और बनाए रखने के लिए धन।
इंटरनेट सुरक्षा नीति का उद्देश्य यह तय करना है कि कोई संगठन अपनी सुरक्षा कैसे करेगा। एक नीति में आमतौर पर दो भाग होते हैं - सामान्य सिद्धांत और विशिष्ट परिचालन नियम (जो नीचे वर्णित विशिष्ट नीति के समतुल्य हैं)। सामान्य सिद्धांत इंटरनेट सुरक्षा के दृष्टिकोण का मार्गदर्शन करते हैं। नियम निर्धारित करते हैं कि क्या अनुमति है और क्या निषिद्ध है। नियमों को विशिष्ट प्रक्रियाओं और विभिन्न दिशानिर्देशों द्वारा पूरक किया जा सकता है।
यह सच है कि एक तीसरी प्रकार की नीति है जो इंटरनेट सुरक्षा साहित्य में दिखाई देती है। यह एक तकनीकी दृष्टिकोण है. इस प्रकाशन में तकनीकी दृष्टिकोण को उस विश्लेषण के रूप में समझा जाएगा जो नीति के सिद्धांतों और नियमों को लागू करने में मदद करता है। यह आमतौर पर संगठनात्मक प्रबंधन के लिए समझने के लिए बहुत तकनीकी और जटिल है। इसलिए, इसे नीति के रूप में व्यापक रूप से उपयोग नहीं किया जा सकता है। हालाँकि, संभावित समाधानों का वर्णन करते समय, व्यापार-बंद की पहचान करना अपरिहार्य है जो नीति का वर्णन करने में एक आवश्यक तत्व है।
इंटरनेट नीतियों को प्रभावी बनाने के लिए, नीति निर्माताओं को उन बदलावों को समझना होगा जो उन्हें करने होंगे। इस नीति का संगठन के अन्य शासकीय दस्तावेज़ों से भी टकराव नहीं होना चाहिए। यह प्रकाशन तकनीकी पेशेवरों को वह जानकारी प्रदान करने का प्रयास करता है जिसकी उन्हें इंटरनेट नीति निर्माताओं को व्याख्या करने के लिए आवश्यकता होगी। इसमें नीति का प्रारंभिक डिज़ाइन शामिल है, जिसके आधार पर विशिष्ट तकनीकी निर्णय लिए जा सकते हैं।
इंटरनेट एक महत्वपूर्ण संसाधन है जिसने कई लोगों और संगठनों के काम करने के तरीके को बदल दिया है। हालाँकि, इंटरनेट गंभीर और व्यापक सुरक्षा समस्याओं से ग्रस्त है। कई संगठनों पर हमलावरों द्वारा हमला किया गया है या जांच की गई है, जिससे उन्हें भारी वित्तीय नुकसान हुआ है और उनकी प्रतिष्ठा खो गई है। कुछ मामलों में, संगठनों को इंटरनेट से अस्थायी रूप से डिस्कनेक्ट करने के लिए मजबूर किया गया और होस्ट और नेटवर्क कॉन्फ़िगरेशन के साथ समस्याओं के निवारण के लिए काफी धनराशि खर्च की गई। जो साइटें इन मुद्दों से अनभिज्ञ हैं या इन्हें अनदेखा करती हैं वे दुर्भावनापूर्ण अभिनेताओं द्वारा ऑनलाइन हमले के जोखिम में हैं। यहां तक कि जिन साइटों ने सुरक्षा उपायों को लागू किया है, वे भी नेटवर्क कार्यक्रमों में नई कमजोरियों के उभरने और कुछ हमलावरों के बने रहने के कारण उन्हीं खतरों के संपर्क में हैं।
मूलभूत समस्या यह है कि इंटरनेट को एक सुरक्षित नेटवर्क के रूप में डिज़ाइन नहीं किया गया था। टीसीपी/आईपी के वर्तमान संस्करण में इसकी कुछ समस्याएं हैं:
डेटा को इंटरसेप्ट करने और नेटवर्क पर मशीनों के पते को गलत साबित करने में आसानी - इंटरनेट ट्रैफ़िक का बड़ा हिस्सा अनएन्क्रिप्टेड डेटा है। आसानी से पहुंच योग्य प्रोग्राम का उपयोग करके ईमेल, पासवर्ड और फ़ाइलों को इंटरसेप्ट किया जा सकता है।
टीसीपी/आईपी उपकरणों की भेद्यता - कई टीसीपी/आईपी उपकरण सुरक्षित होने के लिए डिज़ाइन नहीं किए गए थे और कुशल हमलावरों द्वारा उनसे समझौता किया जा सकता है; परीक्षण के लिए उपयोग किए जाने वाले उपकरण विशेष रूप से असुरक्षित हैं।
नीति का अभाव - कई साइटें अनजाने में इस तरह से कॉन्फ़िगर की जाती हैं कि वे इस पहुंच के दुरुपयोग की संभावना को ध्यान में रखे बिना, इंटरनेट से खुद तक व्यापक पहुंच प्रदान करती हैं; कई साइटें आवश्यकता से अधिक टीसीपी/आईपी सेवाओं की अनुमति देती हैं और अपने कंप्यूटर के बारे में जानकारी तक पहुंच को प्रतिबंधित करने का कोई प्रयास नहीं करती हैं जो हमलावरों की मदद कर सकती हैं।
कॉन्फ़िगर करना कठिन है—होस्ट पहुंच नियंत्रण जटिल हैं; इंस्टॉलेशन की प्रभावशीलता को सही ढंग से कॉन्फ़िगर और सत्यापित करना अक्सर मुश्किल होता है। जो उपकरण गलती से गलत तरीके से कॉन्फ़िगर किए गए हैं, उनके परिणामस्वरूप अनधिकृत पहुंच हो सकती है।

प्रयुक्त साहित्य की सूची
1. सूचना प्रौद्योगिकी सर्वर से सामग्री - http://www. citforum.ru
2. ई-कॉमर्स क्या है? वी. ज़वालेव, सूचना प्रौद्योगिकी केंद्र। http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. कांतारोविच ए.ए., त्सरेव वी.वी. विश्वविद्यालयों के लिए पाठ्यपुस्तकें: इलेक्ट्रॉनिक कॉमर्स 2002, 320 पृष्ठ।

| प्रकाशनों की सूची में

व्यापार उद्यमों, खुदरा नेटवर्क और उनके बुनियादी ढांचे की सूचना सुरक्षा सुनिश्चित करना

रूस में व्यापार के विकास में वर्तमान रुझान उनकी संरचना में उद्यमों की संख्या में वृद्धि, विभिन्न ऑपरेटरों की संपत्ति को मजबूत करने, विलय और अधिग्रहण करने और नेटवर्क वितरण केंद्र बनाकर कंपनियों के समेकन की ओर ले जाते हैं। परिणामस्वरूप, व्यापार को व्यवस्थित करने में सूचना प्रौद्योगिकी की आवश्यकताएं और उनका महत्व बढ़ रहा है। किसी भी कंपनी में सूचना प्रवाह के प्रसंस्करण के लिए उच्च गति और पूर्ण सटीकता की आवश्यकता होती है।

चित्र .1।किसी नेटवर्क कंपनी की प्रबंधन प्रणाली में प्रसारित होने वाली मुख्य सूचना प्रवाहित होती है

एक आधुनिक स्टोर, थोक व्यापार उद्यम और वितरण नेटवर्क के प्रबंधन में एकीकृत व्यापार, गोदाम और लेखांकन के लिए स्वचालित प्रणालियों का उपयोग शामिल है। आज, प्रबंधक सूचना प्रणालियों से प्राप्त आंकड़ों के आधार पर प्रबंधन निर्णय लेते हैं। इस प्रकार, कंपनी की संरचना जो भी हो, अनुबंधों के लिए लेखांकन, इन्वेंट्री की आवाजाही, नकदी और लेखांकन को एक ही सूचना स्थान में किया जाना चाहिए।

ट्रेडिंग प्रक्रिया के प्रबंधन को स्वचालित करने के लिए, उद्यम में एक सूचना प्रणाली बनाई जाती है, जिसमें शामिल हो सकते हैं:

सूचना प्रणाली में डेटा कंपनी कर्मियों और वितरकों के कार्यालय प्रणालियों से आता है। भविष्य में, उनका उपयोग उद्यम के परिचालन प्रबंधन, संपूर्ण कंपनी, क्षेत्रीय कार्यालयों और वितरकों की गतिविधियों के नियंत्रण और विश्लेषण के लिए किया जाता है। सूचना नेटवर्क डेटा के उपभोक्ता कंपनी के प्रबंधक और अधिकारी और वितरक हैं। चित्र 1 और 2 एक व्यापारिक उद्यम (व्यापार नेटवर्क) की प्रबंधन प्रणाली में प्रसारित होने वाले मुख्य सूचना प्रवाह को दर्शाते हैं, उनके मुख्य स्रोतों और उपभोक्ताओं को दर्शाते हैं।

रणनीतिक प्रबंधन निर्णय लेने के लिए, किसी उद्यम के प्रमुख, वित्तीय निदेशक, मुख्य लेखाकार और वरिष्ठ प्रबंधकों के लिए उद्यम की स्थिति और उसके विकास के रुझानों की पूरी तस्वीर प्रस्तुत करना अनिवार्य है (चित्र 1.)।

लेखा विभाग में कार्यस्थलों पर, बिक्री मंजिल पर, गोदाम में, कर्मचारी सामान्य सूचना प्रवाह के केवल व्यक्तिगत टुकड़ों से निपटते हैं। उनके कार्य और कार्य, एक नियम के रूप में, माल की प्राप्ति और खपत को संसाधित करने और रिकॉर्ड करने, चालान जारी करने, नकदी रजिस्टर पर काम करने आदि तक आते हैं। (अंक 2।)।

व्यापारिक उद्यमों के जोखिमों और सूचना प्रणालियों की भेद्यता को ध्यान में रखते हुए, ऐसा दृष्टिकोण अपनाना गैर-जिम्मेदाराना लगता है जिसमें कंपनी तथ्य के बाद की घटनाओं पर प्रतिक्रिया करती है, यानी। उनके घटित होने के बाद. इसका तात्पर्य यह है कि कंपनी को एक सूचना सुरक्षा प्रणाली बनानी होगी। यह नियंत्रण प्रणाली के मुख्य तत्वों में से एक है।

सूचना प्रणाली के संचालन को रोकने से व्यवसाय के लिए अपरिवर्तनीय परिणाम हो सकते हैं। इस प्रकार, बीमा कंपनी गेर्लिंग के अनुसार, यदि सूचना प्रणाली पूरी तरह से बंद हो जाती है, तो व्यापारिक कंपनियाँ केवल 2.5 दिनों के लिए ही मौजूद रह सकती हैं,और निरंतर उत्पादन चक्र के बिना विनिर्माण उद्यमों के लिए, यह आंकड़ा 5 दिन है।

एक प्रभावी सूचना सुरक्षा प्रणाली बनाने के लिए प्रारंभिक डेटा में इसके लक्ष्यों और संरचना, खतरों के प्रकार और उनके स्रोतों और संभावित जवाबी उपायों के बारे में स्पष्ट विचार होने चाहिए।

खतरों के स्रोत बाहरी और आंतरिक हो सकते हैं।

अंक 2।किसी खुदरा उद्यम या खुदरा श्रृंखला के विभिन्न विभागों के कर्मचारियों के लिए डेटा विनिमय प्रणाली

बाहरी खतरेज्यादातर कानूनी और प्रशासनिक अधिकारियों के भीतर प्रतिस्पर्धियों, आपराधिक समूहों और भ्रष्ट अधिकारियों से आते हैं। बाहरी खतरों की कार्रवाइयों का उद्देश्य निष्क्रिय भंडारण मीडिया, विनिमय प्रक्रिया के दौरान सूचना को हटाना, सूचना को नष्ट करना या उसके भंडारण मीडिया को नुकसान पहुंचाना हो सकता है। धमकियों को कंपनी कर्मियों पर निर्देशित किया जा सकता है और रिश्वतखोरी, धमकियों, ब्लैकमेल, व्यापार रहस्य बनाने वाली जानकारी प्राप्त करने के लिए जानकारी को बाहर निकालने या प्रमुख विशेषज्ञों को लुभाने आदि के रूप में व्यक्त किया जा सकता है।

अंदरूनी धमकीसबसे बड़ा ख़तरा पैदा करो. वे अक्षम प्रबंधकों, बेईमान और अकुशल कर्मियों, गबन करने वालों और धोखेबाजों और उत्पादन के पुराने साधनों से आ सकते हैं। उच्च स्तर के आत्मसम्मान वाले व्यक्तिगत कर्मचारी, अपनी महत्वाकांक्षाओं (वेतन स्तर, प्रबंधन, सहकर्मियों आदि के साथ संबंध) से असंतोष के कारण, सक्रिय रूप से प्रतिस्पर्धियों को व्यावसायिक जानकारी दे सकते हैं, महत्वपूर्ण जानकारी या निष्क्रिय मीडिया को नष्ट करने का प्रयास कर सकते हैं। उदाहरण के लिए, एक कंप्यूटर वायरस का परिचय दें।

सूचना संसाधनों को नुकसान निम्न कारणों से हो सकता है:

जानकारी के मुख्य स्रोत हैं:लोग, दस्तावेज़, प्रकाशन, तकनीकी मीडिया, तकनीकी साधन, उत्पाद और अपशिष्ट।

अनधिकृत जानकारी प्राप्त करने के मुख्य तरीके हैं:

सूचना सुरक्षा सुनिश्चित करने के लिए उपाय करने की समस्या की प्रासंगिकता को निम्नलिखित उदाहरणों से स्पष्ट किया जा सकता है:

इस प्रकार, व्यापारिक नेताओं को सूचना सुरक्षा के महत्व को समझना चाहिए और भविष्य के रुझानों का अनुमान लगाना और प्रबंधित करना सीखना चाहिए। सुरक्षा प्रणालियों का प्रभावी संचालन पूरे उद्यम के लिए सर्वोच्च प्राथमिकता होनी चाहिए।

सूचना सुरक्षा की मुख्य दिशाएँ:

सूचना सुरक्षा कार्यक्रम का कार्यान्वयन सुरक्षा प्रणालियों और उपकरणों के एकीकृत उपयोग के आधार पर किया जाना चाहिए, इस आधार पर कि केवल एक अलग उपकरण या माप, या एक साधारण संयोजन का उपयोग करके सुरक्षा के आवश्यक स्तर को सुनिश्चित करना असंभव है। उनमें से। इनका व्यवस्थागत समन्वय आवश्यक है। इस मामले में, किसी भी खतरे का कार्यान्वयन संरक्षित वस्तु को तभी प्रभावित कर सकता है जब सुरक्षा के सभी स्तरों पर काबू पा लिया जाए।

किसी भी ई-कॉमर्स प्रणाली की सुरक्षा समग्र रूप से उसके डेटा में विभिन्न प्रकार के हस्तक्षेप से सुरक्षा में निहित है। इन सभी हस्तक्षेपों को कई श्रेणियों में विभाजित किया जा सकता है:

· डेटा चोरी (उदाहरण के लिए, डेटाबेस से क्रेडिट कार्ड नंबर की चोरी);

· हस्तक्षेप (उदाहरण के लिए, किसी साइट का डेटा अधिभार जो इतनी बड़ी मात्रा में जानकारी के लिए अभिप्रेत नहीं है);

· डेटा का विरूपण (उदाहरण के लिए, भुगतान और चालान फ़ाइलों में राशि बदलना या किसी विशिष्ट साइट पर जाने वाली जानकारी को पंप करने के लिए गैर-मौजूद प्रमाणपत्र या साइट बनाना);

· डेटा का विनाश (उदाहरण के लिए, साइट से या उपयोगकर्ता से साइट पर ट्रांसमिशन के दौरान);

· किए गए कार्यों से इनकार (उदाहरण के लिए, ऑर्डर देने या सामान प्राप्त करने के तथ्य से);

· किसी वास्तविक उपयोगकर्ता द्वारा साइट सुविधाओं का अनजाने में दुरुपयोग;

· जानकारी तक अनधिकृत पहुंच:

· डेटा की अनधिकृत प्रतिलिपि बनाना, अद्यतन करना या अन्य उपयोग;

· अनधिकृत लेनदेन;

· डेटा को अनधिकृत रूप से देखना या प्रसारित करना (उदाहरण के लिए, चैट या फ़ोरम में उपनामों के बजाय आगंतुकों के वास्तविक नाम प्रदर्शित करना)।

साथ ही, कोई भी इस बात को ध्यान में रखने में विफल नहीं हो सकता है कि इस क्षेत्र में सुरक्षा के मामलों में कानूनी प्रकृति की कई वस्तुनिष्ठ समस्याएं हैं - प्रौद्योगिकियां विधायी ढांचे की तुलना में बहुत तेजी से विकसित हो रही हैं, किसी हमलावर को पकड़ना मुश्किल है किसी अपराध का कार्य, और अपराध के सबूत और निशान बिना किसी निशान के आसानी से नष्ट किए जा सकते हैं। यह सब कंपनियों के लिए यह आवश्यक बनाता है कि वे अपने इलेक्ट्रॉनिक व्यवसाय की सुरक्षा के लिए सावधानीपूर्वक एक नीति विकसित करें। पूर्ण और पूर्ण सुरक्षा अप्राप्य है क्योंकि ई-बिजनेस सिस्टम विभिन्न विक्रेताओं के विभिन्न प्रकार के ऑफ-द-शेल्फ और कस्टम सॉफ़्टवेयर अनुप्रयोगों और सेवा प्रदाताओं या व्यावसायिक भागीदारों द्वारा प्रदान की जाने वाली बाहरी सेवाओं की एक महत्वपूर्ण संख्या पर बनाया गया है। इन घटकों और सेवाओं का एक महत्वपूर्ण हिस्सा आमतौर पर ग्राहक कंपनी के आईटी विशेषज्ञों के लिए अपारदर्शी होता है; इसके अलावा, उनमें से कई को अक्सर उनके रचनाकारों द्वारा संशोधित और बेहतर बनाया जाता है। संभावित सुरक्षा दोषों के लिए इन सभी की पूरी तरह से जाँच करना असंभव है, और इन सभी दोषों को समाप्त करना और भी कठिन है। और भले ही यह संभव हो, तथाकथित मानव कारक को बाहर नहीं किया जा सकता है, क्योंकि सभी प्रणालियाँ लोगों द्वारा बनाई, बदली और प्रबंधित की जाती हैं, और कंप्यूटर सुरक्षा संस्थान के शोध के अनुसार, 81% उत्तरदाताओं ने कहा कि कंपनियों के लिए सबसे बड़ी चिंता का विषय है आंतरिक खतरा है - उनके अपने कर्मचारियों की जानबूझकर या अनजाने में की गई हरकतें।

आंतरिक खतरों से सुरक्षा की समस्या के दो पहलू हैं: तकनीकी और संगठनात्मक। तकनीकी पहलू सूचना तक अनधिकृत पहुंच की किसी भी संभावना को खत्म करने की इच्छा है। इस प्रयोजन के लिए, ऐसे प्रसिद्ध साधनों का उपयोग किया जाता है:

पासवर्ड बनाए रखना और उन्हें नियमित रूप से बदलना; सिस्टम को प्रशासित करने के लिए आवश्यक न्यूनतम अधिकार प्रदान करना;

कार्मिक परिवर्तन के दौरान पहुंच समूह के समय पर परिवर्तन या किसी कर्मचारी की बर्खास्तगी पर पहुंच के तत्काल विनाश के लिए मानक प्रक्रियाओं की उपलब्धता।

संगठनात्मक पहलू एक तर्कसंगत आंतरिक सुरक्षा नीति विकसित करना है जो नियमित संचालन में बदल जाती है जैसे कि कंपनियों द्वारा हैकर हमलों की सुरक्षा और रोकथाम के लिए शायद ही कभी इस्तेमाल किए जाने वाले तरीके:

· कंपनी में सामान्य सुरक्षा संस्कृति का परिचय;

· हैकिंग के लिए सॉफ़्टवेयर परीक्षण;

· हैकिंग के हर प्रयास पर नज़र रखना (चाहे वह कितना भी सफल हो) और उसकी गहन जांच करना;

· सुरक्षा और साइबर अपराध के मुद्दों पर कर्मचारियों के लिए वार्षिक प्रशिक्षण, जिसमें हैकर हमलों के विशिष्ट संकेतों की जानकारी शामिल है, ताकि ऐसी गतिविधि का पता लगाने की क्षमता रखने वाले कर्मचारियों की संख्या को अधिकतम किया जा सके;

· जानकारी में अनजाने परिवर्तन या विनाश के मामलों से निपटने के लिए स्पष्ट प्रक्रियाओं की शुरूआत।

बाहरी घुसपैठ से बचाने के लिए, आज कई प्रणालियाँ हैं जो अनिवार्य रूप से विभिन्न प्रकार के फ़िल्टर हैं जो शुरुआती चरणों में हैकिंग प्रयासों की पहचान करने में मदद करती हैं और यदि संभव हो तो किसी हमलावर को बाहरी नेटवर्क के माध्यम से सिस्टम में प्रवेश करने से रोकती हैं।

· राउटर - दूसरे क्रम के नेटवर्क के बीच स्थित नेटवर्क ट्रैफ़िक प्रबंधन उपकरण और इससे जुड़े नेटवर्क खंडों के इनकमिंग और आउटगोइंग ट्रैफ़िक का प्रबंधन करना;

· फ़ायरवॉल - सॉफ़्टवेयर का उपयोग करके निजी नेटवर्क को सार्वजनिक नेटवर्क से अलग करने का साधन जो अनुरोधों के प्रकारों पर कुछ नियंत्रण का उपयोग करके साइट पर बाहरी हमलों की निगरानी और दमन करता है;

एप्लिकेशन गेटवे वे साधन हैं जिनके द्वारा नेटवर्क प्रशासक सुरक्षा नीति लागू करता है जो पैकेट फ़िल्टरिंग करने वाले राउटर का मार्गदर्शन करता है;

· घुसपैठ का पता लगाने वाली प्रणालियाँ (आईडीएस) - ऐसी प्रणालियाँ जो उपयोगकर्ताओं द्वारा जानबूझकर किए गए हमलों और सिस्टम संसाधनों के अनजाने दुरुपयोग का पता लगाती हैं;

· सुरक्षा मूल्यांकन उपकरण (विशेष स्कैनर, आदि) - प्रोग्राम जो नियमित रूप से समस्याओं के लिए नेटवर्क को स्कैन करते हैं और कार्यान्वित सुरक्षा नीति की प्रभावशीलता का परीक्षण करते हैं।

सामान्य तौर पर, किसी कंपनी को सबसे पहले यह पता लगाना चाहिए कि क्या संरक्षित किया जाना चाहिए और किससे। इस क्षेत्र में मुख्य खिलाड़ी कंपनी के शेयरधारक, उपभोक्ता, कर्मचारी और व्यावसायिक भागीदार हैं, और उनमें से प्रत्येक के लिए अपनी स्वयं की सुरक्षा योजना विकसित करना आवश्यक है। कंपनी की विभिन्न व्यावसायिक लाइनों में ई-कॉमर्स अनुप्रयोगों के सभी कार्यान्वयन और उनके सुरक्षा उपायों के लिए मार्गदर्शन के रूप में काम करने के लिए सभी सुरक्षा आवश्यकताओं को दस्तावेजित किया जाना चाहिए। इसके अलावा, यह आपको कंपनी के भीतर सुरक्षा समस्याओं के समाधान के लिए एक अलग बजट बनाने और इन जरूरतों के लिए लागत को अनुकूलित करने की अनुमति देगा, जिससे प्रत्येक व्यक्तिगत व्यावसायिक परियोजना को विकसित करते समय किसी भी सुरक्षा समस्या के दोहराव को समाप्त किया जा सकेगा।

दुर्भाग्य से, आज की प्रथा ऐसी है कि सुरक्षा नीति आईटी विभाग के प्रबंधन पर छोड़ दी गई है, जिनके कर्मचारी मानते हैं कि तकनीकी मुद्दे कुछ प्रकार के "कागजी" निर्देशों से अधिक महत्वपूर्ण हैं, और, इसके अलावा, व्यवसाय के कुछ क्षेत्रों में विशेषज्ञ नहीं हैं इसके लिए कंपनी के भीतर स्पष्ट सुरक्षा प्रक्रियाओं की भी आवश्यकता होती है।

इसके अलावा, अलग-अलग सॉफ़्टवेयर को जोड़ते समय, विशिष्ट समस्याएं उत्पन्न हो सकती हैं जो प्रत्येक एकीकृत उत्पाद के निर्माताओं को ज्ञात नहीं होती हैं। किसी भी तकनीकी और बजटीय निर्णय से पहले ऐसी बातचीत पर शोध होना चाहिए। और अभी तक इस पर बहुत कम ध्यान दिया गया है.

ई-कॉमर्स खतरे कई प्रकार के हैं:

बाहर से सिस्टम में प्रवेश.

कंपनी के भीतर अनधिकृत पहुंच.

जानबूझकर सूचना को रोकना और पढ़ना।

डेटा या नेटवर्क में जानबूझकर व्यवधान।

गलत (कपटपूर्ण उद्देश्यों के लिए) उपयोगकर्ता पहचान।

हैकिंग हार्डवेयर और सॉफ्टवेयर सुरक्षा।

एक नेटवर्क से दूसरे नेटवर्क तक अनधिकृत उपयोगकर्ता पहुंच।

वायरस का हमला.

सेवा की मनाई।

वित्तीय धोखाधड़ी.

इन खतरों का मुकाबला करने के लिए, विभिन्न प्रौद्योगिकियों पर आधारित कई तरीकों का उपयोग किया जाता है, अर्थात्: एन्क्रिप्शन - एन्कोडिंग डेटा जो इसे पढ़ने या विकृत होने से रोकता है; डिजिटल हस्ताक्षर जो प्रेषक और प्राप्तकर्ता की पहचान सत्यापित करते हैं; इलेक्ट्रॉनिक कुंजी का उपयोग कर गुप्त प्रौद्योगिकियाँ; फ़ायरवॉल; आभासी और निजी नेटवर्क।

सुरक्षा का कोई भी तरीका सार्वभौमिक नहीं है; उदाहरण के लिए, फ़ायरवॉल वायरस की जाँच नहीं करते हैं और डेटा अखंडता सुनिश्चित करने में असमर्थ हैं। स्वचालित सुरक्षा की हैकिंग का प्रतिकार करने का कोई बिल्कुल विश्वसनीय तरीका नहीं है, और इसके हैक होने में केवल समय की बात है। लेकिन ऐसी सुरक्षा को तोड़ने में लगने वाला समय, इसकी गुणवत्ता पर निर्भर करता है। यह कहा जाना चाहिए कि इंटरनेट पर कनेक्शन और एप्लिकेशन की सुरक्षा के लिए सॉफ़्टवेयर और हार्डवेयर लंबे समय से विकसित किए गए हैं, हालांकि नई तकनीकों को कुछ हद तक असमान रूप से पेश किया जा रहा है।

प्रत्येक चरण में ई-कॉमर्स संचालित करने वाली कंपनी को किन खतरों का इंतजार रहता है:

इलेक्ट्रॉनिक स्टोर सर्वर के वेब पेज का प्रतिस्थापन (किसी अन्य सर्वर पर अनुरोधों का पुनर्निर्देशन), ग्राहक के बारे में जानकारी, विशेष रूप से उसके क्रेडिट कार्ड के बारे में, तीसरे पक्ष को उपलब्ध कराना;

इलेक्ट्रॉनिक स्टोर के कर्मचारियों की ओर से झूठे आदेश और विभिन्न प्रकार की धोखाधड़ी का निर्माण, उदाहरण के लिए, डेटाबेस में हेरफेर (आंकड़े बताते हैं कि आधे से अधिक कंप्यूटर घटनाएं उनके अपने कर्मचारियों की गतिविधियों से जुड़ी हैं);

ई-कॉमर्स नेटवर्क पर प्रसारित डेटा का अवरोधन;

कंपनी के आंतरिक नेटवर्क में हमलावरों का प्रवेश और इलेक्ट्रॉनिक स्टोर घटकों से समझौता;

सेवा हमलों से इनकार का कार्यान्वयन और कामकाज में व्यवधान या ई-कॉमर्स नोड को अक्षम करना।

ऐसे खतरों के कार्यान्वयन के परिणामस्वरूप, कंपनी ग्राहकों का विश्वास खो देती है, संभावित और/या अपूर्ण लेनदेन से पैसा खो देती है, इलेक्ट्रॉनिक स्टोर की गतिविधि बाधित हो जाती है, और कामकाज बहाल करने पर समय, धन और मानव संसाधन खर्च होते हैं।

बेशक, इंटरनेट के माध्यम से प्रसारित सूचनाओं के अवरोधन से जुड़े खतरे ई-कॉमर्स क्षेत्र तक ही सीमित नहीं हैं। उत्तरार्द्ध के संबंध में विशेष महत्व यह तथ्य है कि इसके सिस्टम में महान आर्थिक महत्व की जानकारी होती है: क्रेडिट कार्ड नंबर, खाता संख्या, अनुबंध की सामग्री इत्यादि।

ई-कॉमर्स को सुरक्षित करना

सुरक्षा सुनिश्चित करना न केवल सफल इलेक्ट्रॉनिक व्यवसाय के लिए एक आवश्यक शर्त है, बल्कि समकक्षों के बीच भरोसेमंद रिश्तों की नींव भी है। ई-व्यवसाय के सार में एक असुरक्षित सार्वजनिक नेटवर्क के माध्यम से सक्रिय सूचना विनिमय और लेनदेन शामिल है, जो व्यावसायिक संस्थाओं के बीच भरोसेमंद संबंधों के बिना असंभव है। इसलिए, सुरक्षा सुनिश्चित करना जटिल है, जिसमें वेब सर्वर और वेब एप्लिकेशन तक पहुंच, उपयोगकर्ताओं का प्रमाणीकरण और प्राधिकरण, डेटा अखंडता और गोपनीयता सुनिश्चित करना, इलेक्ट्रॉनिक डिजिटल हस्ताक्षर का कार्यान्वयन आदि जैसे कार्य शामिल हैं।

इंटरनेट के बढ़ते व्यावसायीकरण के साथ, नेटवर्क पर प्रसारित सूचनाओं की सुरक्षा पर अधिक ध्यान दिया जा रहा है। इंटरनेट के माध्यम से सुरक्षित इंटरैक्शन व्यवस्थित करने के लिए डिज़ाइन किए गए विशेष प्रोटोकॉल (उदाहरण के लिए, SET, SOCKS5, SSL, SHTTP, आदि) को दुनिया भर में व्यापक मान्यता मिली है और विदेशी डेवलपर्स द्वारा इंटरनेट-आधारित बैंकिंग और ट्रेडिंग इलेक्ट्रॉनिक सिस्टम बनाने के लिए सफलतापूर्वक उपयोग किया जाता है।

विदेश में, ई-व्यवसाय की सूचना सुरक्षा की समस्या को एक स्वतंत्र संघ - इंटरनेट सुरक्षा कार्य बल (आईएसटीएफ) द्वारा संबोधित किया जा रहा है - एक सार्वजनिक संगठन जिसमें सूचना सुरक्षा उपकरण, ई-व्यवसाय और इंटरनेट सेवा प्रदान करने वाली कंपनियों के प्रतिनिधि और विशेषज्ञ शामिल हैं। प्रदाता।

आईएसटीएफ सूचना सुरक्षा के बारह क्षेत्रों की पहचान करता है जिन पर प्राथमिक ध्यान दिया जाना चाहिए। ई-व्यवसाय आयोजक:

पहचान संबंधी जानकारी की वस्तुनिष्ठ पुष्टि के लिए एक तंत्र;

व्यक्तिगत, निजी जानकारी का अधिकार;

सुरक्षा घटनाओं की परिभाषा;

कॉर्पोरेट परिधि की सुरक्षा;

हमलों की परिभाषा;

संभावित रूप से खतरनाक सामग्री का नियंत्रण;

अभिगम नियंत्रण;

प्रशासन;

घटनाओं पर प्रतिक्रिया.

यह ज्ञात है कि इलेक्ट्रॉनिक डिजिटल हस्ताक्षर (ईडीएस) एल्गोरिदम का उपयोग किसी को कई खतरों से विश्वसनीय रूप से रक्षा करने की अनुमति देता है, लेकिन यह केवल तभी सच है जब ये एल्गोरिदम अच्छी तरह से स्थापित इंटरैक्शन प्रोटोकॉल, रिश्तों की कानूनी रूप से सही संरचना और तार्किक रूप से बंद में बुने जाते हैं विश्वास की प्रणाली.

सूचना सुरक्षा डिजिटल हस्ताक्षर की गणना करने और संबंधित कुंजी की एक जोड़ी के साथ इसे सत्यापित करने की प्रक्रियाओं के सरल तर्क पर आधारित है, हालांकि, तर्क मौलिक गणितीय अनुसंधान पर आधारित है। केवल निजी कुंजी का स्वामी ही डिजिटल हस्ताक्षर की गणना कर सकता है, और जिसके पास निजी कुंजी के अनुरूप सार्वजनिक कुंजी है, वह इसे सत्यापित कर सकता है।

बेशक, इस क्षेत्र के विशेषज्ञों को सूचना सुरक्षा सुनिश्चित करने में शामिल किया जाना चाहिए, लेकिन सरकारी निकायों, उद्यमों और संस्थानों के प्रमुखों को, उनके स्वामित्व के प्रकार की परवाह किए बिना, जो कुछ आर्थिक संस्थाओं की आर्थिक सुरक्षा के लिए जिम्मेदार हैं, उन्हें इन मुद्दों को लगातार ध्यान में रखना चाहिए। उनकी दृष्टि का क्षेत्र. उनके लिए, एक व्यापक सूचना सुरक्षा प्रणाली के आयोजन के मुख्य कार्यात्मक घटक नीचे दिए गए हैं:

संचार प्रोटोकॉल;

क्रिप्टोग्राफी उपकरण;

सार्वजनिक नेटवर्क से कार्यस्थानों के लिए अभिगम नियंत्रण उपकरण;

एंटीवायरस कॉम्प्लेक्स;

हमले का पता लगाने और ऑडिट कार्यक्रम;

उपयोगकर्ता पहुंच नियंत्रण के केंद्रीकृत प्रबंधन के लिए उपकरण, साथ ही खुले नेटवर्क पर किसी भी एप्लिकेशन के डेटा पैकेट और संदेशों का सुरक्षित आदान-प्रदान।

इंटरनेट पर लंबे समय से कई समितियां हैं, जिनमें ज्यादातर स्वयंसेवी संगठन हैं, जो मानकीकरण प्रक्रिया के माध्यम से प्रस्तावित प्रौद्योगिकियों का सावधानीपूर्वक मार्गदर्शन करते हैं। इन समितियों ने, जो इंटरनेट इंजीनियरिंग टास्क फोर्स (IETF) का बड़ा हिस्सा हैं, ने कई महत्वपूर्ण प्रोटोकॉल को मानकीकृत किया है, जिससे इंटरनेट पर उनके अपनाने में तेजी आई है।

डेटा संचार के लिए टीसीपी/आईपी परिवार, ईमेल के लिए एसएमटीपी (सिंपल मेल ट्रांसपोर्ट प्रोटोकॉल) और पीओपी (पोस्ट ऑफिस प्रोटोकॉल), और नेटवर्क प्रबंधन के लिए एसएनएमपी (सिंपल नेटवर्क मैनेजमेंट प्रोटोकॉल) जैसे प्रोटोकॉल आईईटीएफ प्रयासों के प्रत्यक्ष परिणाम हैं। उपयोग किए जाने वाले सुरक्षा उत्पाद का प्रकार कंपनी की आवश्यकताओं पर निर्भर करता है।

सुरक्षित डेटा ट्रांसमिशन प्रोटोकॉल इंटरनेट पर लोकप्रिय हैं, अर्थात् एसएसएल, एसईटी, आईपी v.6। सूचीबद्ध प्रोटोकॉल मूल्यवान जानकारी की सुरक्षा की आवश्यकता के रूप में अपेक्षाकृत हाल ही में इंटरनेट पर दिखाई दिए, और तुरंत वास्तविक मानक बन गए।

दुर्भाग्य से, रूस में वे गतिविधि के उन क्षेत्रों में इंटरनेट शुरू करने की संभावना के बारे में अभी भी बहुत सतर्क हैं जो संबंधित हैं

गोपनीय जानकारी का स्थानांतरण, प्रसंस्करण और भंडारण। समान

सावधानी को न केवल घरेलू वित्तीय संरचनाओं की रूढ़िवादिता द्वारा समझाया गया है, जो इंटरनेट के खुलेपन और पहुंच से डरते हैं, बल्कि आंशिक रूप से इस तथ्य से भी समझाया गया है कि पश्चिमी विनिर्माण कंपनियों के अधिकांश सूचना सुरक्षा सॉफ्टवेयर निर्यात प्रतिबंधों के साथ हमारे बाजार में प्रवेश करते हैं। उनमें क्रिप्टोग्राफ़िक एल्गोरिदम लागू किए गए। उदाहरण के लिए, माइक्रोसॉफ्ट और नेटस्केप कम्युनिकेशंस जैसे निर्माताओं से WWW सर्वर और ब्राउज़र के लिए सॉफ़्टवेयर के निर्यात संस्करणों में, एसएसएल प्रोटोकॉल द्वारा उपयोग किए जाने वाले सिंगल-कुंजी और डबल-कुंजी एन्क्रिप्शन एल्गोरिदम के लिए कुंजी लंबाई पर प्रतिबंध हैं, जो पूर्ण प्रदान नहीं करता है इंटरनेट पर काम करते समय सुरक्षा।

हालाँकि, ई-कॉमर्स एप्लिकेशन, आंतरिक खतरों के अलावा, इंटरनेट से उत्पन्न होने वाले बाहरी खतरों के प्रति भी अतिसंवेदनशील होते हैं। और चूंकि प्रत्येक अनाम विज़िटर को एक अलग लॉगिन आईडी निर्दिष्ट करना अतार्किक है (चूंकि एप्लिकेशन विकसित नहीं होता है), कंपनियों को एक अलग प्रकार के प्रमाणीकरण का उपयोग करने की आवश्यकता होती है। इसके अलावा, हमलों को रोकने के लिए सर्वर को तैयार करना आवश्यक है। अंत में, आपको क्रेडिट कार्ड नंबर जैसे संवेदनशील डेटा से बेहद सावधान रहना चाहिए।

डेटा एन्क्रिप्शन

व्यावसायिक वेबसाइट संवेदनशील जानकारी (जैसे उपभोक्ता क्रेडिट कार्ड नंबर) संसाधित करती है। बिना किसी सुरक्षा के इंटरनेट पर ऐसी जानकारी प्रसारित करने से अपूरणीय परिणाम हो सकते हैं। कोई भी प्रसारण पर नज़र रख सकता है और इस प्रकार गोपनीय जानकारी तक पहुंच प्राप्त कर सकता है। इसलिए, डेटा को एन्क्रिप्ट किया जाना चाहिए और एक सुरक्षित चैनल पर प्रसारित किया जाना चाहिए। सुरक्षित डेटा ट्रांसफर को लागू करने के लिए, सिक्योर सॉकेट लेयर (एसएसएल) प्रोटोकॉल का उपयोग किया जाता है।

इस कार्यक्षमता को लागू करने के लिए, आपको एक डिजिटल प्रमाणपत्र खरीदना होगा और इसे अपने सर्वर पर इंस्टॉल करना होगा। आप किसी प्रमाणन निकाय से डिजिटल प्रमाणपत्र के लिए आवेदन कर सकते हैं। प्रसिद्ध वाणिज्यिक प्रमाणन संगठनों में शामिल हैं: वेरीसाइन, साइबरट्रस्ट, जीटीई।

एसएसएल HTTP (सुरक्षित होने पर HTTPS कहा जाता है), FTP और NNTP जैसे प्रोटोकॉल के लिए एक योजना है। डेटा स्थानांतरण के लिए SSL का उपयोग करते समय:

डेटा एन्क्रिप्टेड है;

स्रोत सर्वर और गंतव्य सर्वर के बीच एक सुरक्षित कनेक्शन स्थापित किया गया है;

सर्वर प्रमाणीकरण सक्षम है.

जब कोई उपयोगकर्ता एसएसएल का उपयोग करके क्रेडिट कार्ड नंबर सबमिट करता है, तो डेटा तुरंत एन्क्रिप्ट किया जाता है ताकि कोई हैकर इसकी सामग्री न देख सके। एसएसएल नेटवर्क प्रोटोकॉल से स्वतंत्र है।

नेटस्केप का सर्वर सॉफ़्टवेयर प्रमाणीकरण-प्रमाणपत्र और डिजिटल हस्ताक्षर भी प्रदान करता है-उपयोगकर्ता की पहचान और संदेश की अखंडता को प्रमाणित करता है और यह सुनिश्चित करता है कि संदेश ने अपना मार्ग नहीं बदला है।

प्रमाणीकरण में सूचना विनिमय और वित्तीय लेनदेन में शामिल दस्तावेजों की प्रामाणिकता को सत्यापित करने के लिए उपयोगकर्ता की पहचान और डिजिटल हस्ताक्षर की पुष्टि करना शामिल है। डिजिटल हस्ताक्षर वह डेटा है जिसे जालसाजी को रोकने के लिए किसी दस्तावेज़ से जोड़ा जा सकता है।

घुसपैठ का पता लगाना

घुसपैठ का पता लगाने वाली प्रणालियाँ (आईडीएस) हमलों के पैटर्न या निशान की पहचान कर सकती हैं और अलार्म उत्पन्न कर सकती हैं

ऑपरेटरों को सचेत करें और राउटर्स को अवैध घुसपैठ के स्रोतों से कनेक्शन समाप्त करने के लिए प्रोत्साहित करें। ये सिस्टम सेवा से इनकार करने के प्रयासों को भी रोक सकते हैं।

कार्य का वर्णन

इस कार्य का उद्देश्य ई-कॉमर्स की अवधारणा का अध्ययन करना और ई-कॉमर्स की सूचना सुरक्षा के मुद्दों पर विचार करना है।
कार्य:
- ई-कॉमर्स को परिभाषित करें;
- इसके मुख्य तत्वों, प्रकारों, सकारात्मक और नकारात्मक पहलुओं पर विचार करें;
- मुख्य प्रकार के खतरों और ई-कॉमर्स सुरक्षा सुनिश्चित करने के मुख्य तरीकों पर विचार करें।

इलेक्ट्रॉनिक कॉमर्स की सूचना सुरक्षा (ईसी)

इंटरनेट उपयोगकर्ताओं की संख्या कई सौ मिलियन तक पहुंच गई है और "आभासी अर्थव्यवस्था" के रूप में एक नई गुणवत्ता सामने आई है। इसमें शॉपिंग साइट्स के जरिए नए बिजनेस मॉडल, अपनी मार्केटिंग रणनीति आदि का इस्तेमाल कर खरीदारी की जाती है।

इलेक्ट्रॉनिक कॉमर्स (ईसी) इंटरनेट के माध्यम से सामान बेचने की एक व्यावसायिक गतिविधि है। एक नियम के रूप में, ईसी के दो रूप हैं:

* उद्यमों के बीच व्यापार (व्यवसाय से व्यवसाय, बी2बी);

* उद्यमों और व्यक्तियों के बीच व्यापार, यानी। उपभोक्ता (व्यवसाय से उपभोक्ता, बी2सी)।

EC ने ऐसी नई अवधारणाओं को जन्म दिया है:

* इलेक्ट्रॉनिक स्टोर - डिस्प्ले विंडो और ट्रेडिंग सिस्टम जो सामान की मांग होने पर निर्माताओं या डीलरों द्वारा उपयोग किए जाते हैं।

* इलेक्ट्रॉनिक कैटलॉग - विभिन्न निर्माताओं के उत्पादों की एक बड़ी श्रृंखला के साथ।

* एक इलेक्ट्रॉनिक नीलामी इंटरनेट प्रौद्योगिकियों का उपयोग करते हुए एक क्लासिक नीलामी का एक एनालॉग है, जिसमें एक मल्टीमीडिया इंटरफ़ेस, एक इंटरनेट एक्सेस चैनल और उत्पाद सुविधाओं के प्रदर्शन के लिए एक विशिष्ट कनेक्शन होता है।

* एक इलेक्ट्रॉनिक डिपार्टमेंट स्टोर एक नियमित डिपार्टमेंट स्टोर का एक एनालॉग है, जहां सामान्य कंपनियां एक प्रभावी उत्पाद ब्रांड (गोस्टिनी ड्वोर, जीयूएम, आदि) के साथ अपना सामान प्रदर्शित करती हैं।

* आभासी समुदाय (समुदाय), जिसमें खरीदार रुचि समूहों (प्रशंसक क्लब, एसोसिएशन, आदि) द्वारा संगठित होते हैं।

ईसी के क्षेत्र में इंटरनेट महत्वपूर्ण लाभ लाता है:

* बड़ी निजी कंपनियों के लिए कच्चे माल और घटकों की खरीद को इंटरनेट एक्सचेंजों में स्थानांतरित करने से बचत 25 - 30% तक पहुंच जाती है;

* वास्तविक समय में दुनिया भर के प्रतिस्पर्धी आपूर्तिकर्ताओं की नीलामी में भाग लेने से उन कीमतों में कमी आती है जो उन्होंने वस्तुओं या सेवाओं की आपूर्ति के लिए प्रोग्राम की हैं;

* दुनिया भर के खरीदारों से प्रतिस्पर्धा के परिणामस्वरूप वस्तुओं या सेवाओं की कीमतों में वृद्धि;

* आवश्यक कर्मचारियों की संख्या और कागजी कार्रवाई की मात्रा को कम करके बचत।

पश्चिमी देशों में EC में प्रमुख स्थान B2B सेक्टर का हो गया है, जो विभिन्न अनुमानों के अनुसार 2007 तक 3 से 6 ट्रिलियन तक पहुंच जाएगा। डॉलर. अपने व्यवसाय को इंटरनेट पर स्थानांतरित करने से सबसे पहले लाभ हार्डवेयर और सॉफ्टवेयर बेचने वाली और कंप्यूटर और दूरसंचार सेवाएं प्रदान करने वाली कंपनियों को हुआ।

प्रत्येक ऑनलाइन स्टोर में दो मुख्य शामिल हैं अवयव:

इलेक्ट्रॉनिक स्टोरफ्रंट और ट्रेडिंग सिस्टम.

इलेक्ट्रॉनिक स्टोरफ्रंट में वेब साइट पर बेचे गए सामान के बारे में जानकारी होती है, स्टोर डेटाबेस तक पहुंच प्रदान करता है, ग्राहकों को पंजीकृत करता है, खरीदार की इलेक्ट्रॉनिक "बास्केट" के साथ काम करता है, ऑर्डर देता है, मार्केटिंग जानकारी एकत्र करता है, और ट्रेडिंग सिस्टम तक जानकारी पहुंचाता है।

ट्रेडिंग सिस्टम सामान वितरित करता है और उनके लिए भुगतान की प्रक्रिया करता है। एक ट्रेडिंग सिस्टम विभिन्न कंपनियों के स्वामित्व वाले स्टोरों का एक संग्रह है जो एक अलग कंपनी के स्वामित्व वाले वेब सर्वर पर जगह किराए पर लेते हैं।

ऑनलाइन स्टोर संचालन तकनीकनिम्नलिखित नुसार:

खरीदार सामान और कीमतों (वेबसाइट) की सूची के साथ इलेक्ट्रॉनिक स्टोरफ्रंट पर वांछित उत्पाद का चयन करता है और व्यक्तिगत डेटा (पूरा नाम, डाक और ईमेल पते, वितरण और भुगतान की पसंदीदा विधि) के साथ एक फॉर्म भरता है। यदि भुगतान इंटरनेट के माध्यम से किया जाता है, तो सूचना सुरक्षा पर विशेष ध्यान दिया जाता है।

पूर्ण माल को ऑनलाइन स्टोर के ट्रेडिंग सिस्टम में स्थानांतरित करना,

जहां ऑर्डर पूरा हो गया है. ट्रेडिंग सिस्टम मैन्युअल या स्वचालित रूप से संचालित होता है। मैनुअल सिस्टम पॉसिल्टॉर्ग सिद्धांत के अनुसार संचालित होता है, जब सामान की मात्रा छोटी होती है, तो एक नियम के रूप में, स्वचालित सिस्टम को खरीदना और स्थापित करना असंभव होता है।

माल की डिलीवरी और भुगतान. सामान खरीदार तक पहुंचाया जाता है

संभावित तरीकों में से एक में:

* शहर और आसपास के क्षेत्रों में कूरियर स्टोर करें;

* विशेष कूरियर सेवा (विदेश से सहित);

* उठाना;

* ऐसी विशिष्ट जानकारी दूरसंचार नेटवर्क के माध्यम से वितरित की जाती है

जानकारी के रूप में उत्पाद.

माल का भुगतान निम्नलिखित तरीकों से किया जा सकता है:

* प्रारंभिक या माल की प्राप्ति के समय;

* कूरियर को नकद या किसी वास्तविक स्टोर पर जाने पर;

*डाक हस्तांतरण द्वारा;

* बैंक का लेन - देन;

* डिलवरी पर नकदी;

* क्रेडिट कार्ड (वीज़ा, मास्टर कार्ड, आदि) का उपयोग करना;

व्यक्तिगत वाणिज्यिक के माध्यम से इलेक्ट्रॉनिक भुगतान प्रणाली के माध्यम से

बैंक (टेलीबैंक, सहायता, आदि)।

हाल ही में, दुनिया में ई-कॉमर्स या इंटरनेट के माध्यम से व्यापार काफी तेजी से विकसित हो रहा है। स्वाभाविक रूप से, यह प्रक्रिया

वित्तीय संस्थानों की प्रत्यक्ष भागीदारी से किया गया। और व्यापार का यह तरीका तेजी से लोकप्रिय हो रहा है, कम से कम जहां नए इलेक्ट्रॉनिक बाजार का उपयोग व्यवसायों और आबादी के एक बड़े हिस्से द्वारा किया जा सकता है।

इलेक्ट्रॉनिक नेटवर्क पर व्यावसायिक गतिविधियाँ कुछ भौतिक प्रतिबंध हटा देती हैं। कंपनियाँ अपने कंप्यूटर सिस्टम को इससे जोड़ रही हैं

इंटरनेट, ग्राहकों को बिना छुट्टियों और सप्ताहांत के 24 घंटे सहायता प्रदान करने में सक्षम है। उत्पादों के ऑर्डर किसी भी समय कहीं से भी स्वीकार किए जा सकते हैं।

हालाँकि, इस "सिक्के" का दूसरा पहलू भी है। विदेशों में, जहां ई-कॉमर्स सबसे व्यापक रूप से विकसित है, लेनदेन या माल की लागत अक्सर $300-400 तक सीमित होती है। इसका कारण कंप्यूटर नेटवर्क में सूचना सुरक्षा समस्याओं का अपर्याप्त समाधान है। अपराध रोकथाम और नियंत्रण पर संयुक्त राष्ट्र समिति के अनुसार, कंप्यूटर अपराध अंतरराष्ट्रीय समस्याओं में से एक के स्तर पर पहुंच गया है। संयुक्त राज्य अमेरिका में, इस प्रकार की आपराधिक गतिविधि हथियारों और मादक पदार्थों की तस्करी के बाद लाभप्रदता के मामले में तीसरे स्थान पर है।

2006 में इंटरनेट के माध्यम से वैश्विक ई-कॉमर्स कारोबार की मात्रा,

फॉरेस्टर टेक के पूर्वानुमान के अनुसार, यह 1.8 से 2 ट्रिलियन तक हो सकता है। डॉलर। इतनी विस्तृत पूर्वानुमान सीमा ई-कॉमर्स की आर्थिक सुरक्षा सुनिश्चित करने की समस्या से निर्धारित होती है। यदि सुरक्षा स्तर मौजूदा स्तर पर बना रहता है, तो वैश्विक ई-कॉमर्स कारोबार और भी छोटा हो सकता है। इससे पता चलता है कि यह ई-कॉमर्स प्रणाली की कम सुरक्षा है जो ई-व्यवसाय के विकास में एक सीमित कारक है।

ई-कॉमर्स की आर्थिक सुरक्षा सुनिश्चित करने की समस्या का समाधान मुख्य रूप से इसमें उपयोग की जाने वाली सूचना प्रौद्योगिकियों की सुरक्षा के मुद्दों को हल करने से जुड़ा है, यानी सूचना सुरक्षा सुनिश्चित करना।

इंटरनेट परिवेश में व्यावसायिक प्रक्रियाओं के एकीकरण से सुरक्षा स्थिति में मूलभूत परिवर्तन होता है। इलेक्ट्रॉनिक दस्तावेज़ के आधार पर अधिकारों और जिम्मेदारियों के निर्माण के लिए दस्तावेज़ भेजने वाले और उसके प्राप्तकर्ता दोनों को खतरों की पूरी श्रृंखला से व्यापक सुरक्षा की आवश्यकता होती है। दुर्भाग्य से, ई-कॉमर्स उद्यमों के प्रबंधकों को सूचना संबंधी खतरों की गंभीरता और अपने संसाधनों की सुरक्षा को व्यवस्थित करने के महत्व के बारे में तभी पता चलता है, जब बाद में सूचना पर हमला होता है। जैसा कि आप देख सकते हैं, सूचीबद्ध सभी बाधाएँ सूचना सुरक्षा के क्षेत्र से संबंधित हैं।

वाणिज्यिक लेनदेन करने की बुनियादी आवश्यकताओं में गोपनीयता, अखंडता, प्रमाणीकरण, प्राधिकरण, गारंटी और गोपनीयता शामिल हैं।

सूचना सुरक्षा प्राप्त करते समय, इसकी उपलब्धता, गोपनीयता, अखंडता और कानूनी महत्व सुनिश्चित करना शामिल है बुनियादी कार्य . प्रत्येक खतरे पर इस संदर्भ में विचार किया जाना चाहिए कि यह इन चार संपत्तियों या सुरक्षित जानकारी के गुणों को कैसे प्रभावित कर सकता है।

गोपनीयताइसका मतलब है कि प्रतिबंधित जानकारी केवल उन लोगों के लिए ही पहुंच योग्य होनी चाहिए जिनके लिए यह अभिप्रेत है। अंतर्गत अखंडताजानकारी को अविभाजित रूप में अस्तित्व की संपत्ति के रूप में समझा जाता है। उपलब्धताजानकारी उन विषयों को समय पर, अबाधित पहुंच प्रदान करने की सिस्टम की क्षमता से निर्धारित होती है जिनके पास ऐसा करने का उचित अधिकार है। कानूनी महत्वहमारे देश में सूचना सुरक्षा के लिए एक नियामक ढांचे के निर्माण के साथ-साथ हाल ही में सूचना महत्वपूर्ण हो गई है।

यदि पहली चार आवश्यकताओं को तकनीकी साधनों से पूरा किया जा सकता है, तो अंतिम दो की पूर्ति तकनीकी साधनों और व्यक्तियों और संगठनों की जिम्मेदारी के साथ-साथ उन कानूनों के अनुपालन पर निर्भर करती है जो उपभोक्ताओं को विक्रेताओं द्वारा संभावित धोखाधड़ी से बचाते हैं।

व्यापक सूचना सुरक्षा सुनिश्चित करने के भाग के रूप में, सबसे पहले, कुंजी को उजागर करना आवश्यक है इलेक्ट्रॉनिक सुरक्षा के क्षेत्र में समस्याएं व्यापार जिसमें शामिल है:

संचार चैनलों के माध्यम से इसके प्रसारण के दौरान सूचना की सुरक्षा; कंप्यूटर सिस्टम, डेटाबेस और इलेक्ट्रॉनिक दस्तावेज़ प्रबंधन की सुरक्षा;

इलेक्ट्रॉनिक रूप में सूचना का दीर्घकालिक भंडारण सुनिश्चित करना; लेनदेन सुरक्षा, वाणिज्यिक जानकारी की गोपनीयता, प्रमाणीकरण, बौद्धिक संपदा संरक्षण आदि सुनिश्चित करना।

ई-कॉमर्स खतरे कई प्रकार के हैं:

 बाहर से सिस्टम में प्रवेश।

 कंपनी के भीतर अनधिकृत पहुंच।

 जानबूझकर सूचना को रोकना और पढ़ना।

 डेटा या नेटवर्क में जानबूझकर व्यवधान।

 गलत (कपटपूर्ण उद्देश्यों के लिए) पहचान

उपयोगकर्ता.

 सॉफ्टवेयर और हार्डवेयर सुरक्षा की हैकिंग।

 एक नेटवर्क से दूसरे नेटवर्क तक अनधिकृत उपयोगकर्ता पहुंच।

 वायरस का हमला.

 सेवा से इनकार.

 वित्तीय धोखाधड़ी.

कौन धमकी एक ई-कॉमर्स कंपनी के इंतजार में पड़े हैं हर चरण में :

 इलेक्ट्रॉनिक स्टोर सर्वर के वेब पेज का प्रतिस्थापन (किसी अन्य सर्वर पर अनुरोधों का पुनर्निर्देशन), ग्राहक के बारे में जानकारी, विशेष रूप से उसके क्रेडिट कार्ड के बारे में, तीसरे पक्ष को उपलब्ध कराना;

 इलेक्ट्रॉनिक स्टोर के कर्मचारियों की ओर से झूठे आदेशों और धोखाधड़ी के विभिन्न रूपों का निर्माण, उदाहरण के लिए, डेटाबेस में हेरफेर (आंकड़े बताते हैं कि आधे से अधिक कंप्यूटर घटनाएं उनके अपने कर्मचारियों की गतिविधियों से संबंधित हैं);

 ई-कॉमर्स नेटवर्क पर प्रसारित डेटा का अवरोधन;

 कंपनी के आंतरिक नेटवर्क में हमलावरों का प्रवेश और इलेक्ट्रॉनिक स्टोर घटकों से समझौता;

लोकप्रिय

डेशेली, ब्यूटी सैलून की श्रृंखला

« प्रीओब्राज़ेंस्की ड्वोर व्यापार केंद्र की तकनीकी विशेषताएं प्रीओब्राज़ेंस्की ड्वोर व्यापार केंद्र एक नई श्रेणी ए निर्माण सुविधा है, जिसमें शामिल हैं... »

काम, टीम में रिश्तों और सड़क पर जानवरों के बारे में एक सहायक ड्राइवर के खुलासे मैं एक ड्राइवर बनना चाहता हूं

« बी बस इतना ही. मशीनिस्ट बनने के लिए क्या करना होगा? सबसे महत्वपूर्ण चीज़ है इच्छा. यही पर सब शुरू होता है। ट्रेन चलाने की इच्छा और इस विश्वास से कि... »

सत्यनिष्ठा के लिए प्रतिपक्ष के सत्यापन का नमूना प्रमाण पत्र प्रतिपक्षों के लिए 1सी रिपोर्ट कैसे तैयार करें

« टीआईएन द्वारा प्रतिपक्ष की जांच करने से आप यह सुनिश्चित कर सकेंगे कि आपका भावी आपूर्तिकर्ता (खरीदार, उधारकर्ता, आदि) एक फ्लाई-बाय-नाइट कंपनी नहीं है.... »