Электрондық коммерция жүйелеріндегі ақпараттық қауіпсіздік. «Электрондық сауда қауіпсіздігі. Ақпаратты қорғаудың негізгі бағыттары

Кіріспе…………………………………………………………………………3
1.Электрондық коммерция және оның даму тарихы…………………………..
1.1. Электрондық коммерцияның тарихы………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………6
2. Электронды коммерцияның қауіпсіздігі……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………8
2.1. Тәуекелдер мен қауіптер………………………………………………………………11
Қорытынды……………………………………………………………….17
Әдебиеттер тізімі………………………………………………………… 20

Кіріспе

Ғаламдық Интернет кез келген көлемдегі компаниялар үшін электрондық коммерцияны қолжетімді етті. Егер бұрын электрондық деректер алмасуды ұйымдастыру коммуникациялық инфрақұрылымға қомақты инвестицияны қажет етсе және тек ірі компаниялар үшін ғана мүмкін болса, онда Интернетті пайдалану бүгінгі күні шағын фирмаларға «электрондық трейдерлер» қатарына қосылуға мүмкіндік береді. Дүниежүзілік желідегі электронды дүкен кез келген компанияға әлемнің түкпір-түкпірінен тұтынушыларды тартуға мүмкіндік береді. Мұндай онлайн-бизнес жаңа сату арнасын құрайды - «виртуалды», ол ешқандай материалдық инвестицияларды қажет етпейді. Ақпаратты, қызметтерді немесе өнімдерді (мысалы, бағдарламалық жасақтаманы) Интернет арқылы жеткізу мүмкін болса, онда бүкіл сату процесі (соның ішінде төлем) онлайн режимінде өтуі мүмкін.
Электрондық коммерцияның анықтамасы тек Интернетке бағытталған жүйелерді ғана емес, сонымен қатар басқа коммуникациялық орталарды – BBS, VAN және т.б. пайдаланатын «электрондық дүкендерді» де қамтиды. Сонымен бірге, WWW ақпаратымен басталған, бірақ деректер алмасу үшін факс, телефон және т.б. пайдаланатын сату процедуралары тек ішінара электрондық коммерция ретінде жіктелуі мүмкін. Сондай-ақ, WWW электрондық коммерцияның технологиялық негізі болғанына қарамастан, бірқатар жүйелер басқа коммуникациялық мүмкіндіктерді де пайдаланады. Осылайша, сатушыға өнім параметрлерін нақтылау немесе тапсырыс беру туралы сұрауларды электрондық пошта арқылы жіберуге болады.
Бүгінгі таңда онлайн-сатып алулар үшін төлемнің басым құралы несиелік карталар болып табылады. Дегенмен, жаңа төлем құралдары да сахнаға енуде: смарт-карталар, цифрлық қолма-қол ақша, микротөлемдер және электронды чектер.
Электрондық коммерция тек онлайн транзакцияларды ғана қамтымайды. Осы концепция қамтитын сала маркетингтік зерттеулер жүргізу, мүмкіндіктер мен серіктестерді анықтау, жеткізушілермен және тұтынушылармен қарым-қатынасты сақтау, құжат айналымын ұйымдастыру және т.б. сияқты іс-шараларды қамтуы керек. Осылайша, электрондық коммерция күрделі ұғым болып табылады және электронды алмасу деректерін бір жүйе ретінде қамтиды. құрамдас бөліктерден.

Электрондық коммерция – тауар мен қызметтерді өндірушілерден тұтынушыларға электронды есептеуіш желілер арқылы жылжыту бойынша экономикалық қызмет түрі. Басқаша айтқанда, электронды коммерция - бұл компьютерлік желілер, негізінен Интернет арқылы тауарлар мен қызметтерді маркетинг, сатып алу және сату. Электрондық коммерция жалпы коммерциялық қызметтің тиімділігін арттырудың жаңа мүмкіндіктерін береді.
Дәстүрлі саудадан айырмашылығы, электрондық коммерция компанияларға келесі мүмкіндіктерді береді:
A) Интернет арқылы өз өнімдерін сату;
B) Тұтынушылармен және жеткізушілермен қарым-қатынасты дамыту және үйлестіру;
B) Тауарлар мен қызметтерді электронды түрде айырбастау;
D) Цифрлық өнімдерді жеткізу және сатудан кейінгі тұтынушыларды қолдау бағасын төмендету;
D) Нарық өзгерістеріне тез әрекет ету;
E) Үстеме шығындарды азайту;
G) Тұтынушыларға қызмет көрсетуді жақсарту және тұтынушыларға өз қызметтерін енгізу;
H) Тұтынушылар шеңберін кеңейту;
I) Сатып алушының жеке қажеттіліктерін ескеру;
Электрондық коммерция сатып алушыларға мүмкіндік береді:
A) Кез келген уақытта және кез келген жерден тауар сатып алуға;
B) Бағаларға салыстырмалы талдау жүргізу және ең жақсысын таңдау;
C) Өнімнің кең ассортиментіне бір уақытта қол жеткізу;
D) Сатып алуды жүзеге асырудың ыңғайлы механизмдерін таңдау;
D) Өз қалауыңызға қарай ақпарат пен жаңалықтарды алыңыз.
1.1 Электрондық коммерцияның тарихы

Алғашқы электрондық коммерция жүйелері 1960 жылдары АҚШ-та пайда болды. Олар көлік компанияларында рейстерді дайындау кезінде және билеттерді брондау кезінде әртүрлі қызметтер арасында деректер алмасу үшін пайдаланылды.
Бастапқыда мұндай коммерция ұйымдар арасында электрондық деректер алмасудың арнайы стандарттарын қолдана отырып, Интернеттен тыс желілерді пайдалану арқылы жүргізілді.
1960 жылдардың аяғында Құрама Штаттарда әртүрлі көлік компаниялары арасында деректер алмасу үшін төрт салалық стандарт болды. Осы стандарттарды біріктіру үшін 1968 жылы арнайы Көлік деректерін үйлестіру комитеті құрылды. жұмыс нәтижелері жаңа EDI стандартының негізін құрады.
1970 жылдары Англияда осындай оқиғалар болды. Бұл елде EDI қолданудың негізгі саласы көлік емес, сауда болды. Мұнда таңдалған Tradacoms спецификацияларының жиынтығын Біріккен Ұлттар Ұйымының Еуропалық Экономикалық Комиссиясы халықаралық сауда ұйымдарында деректер алмасу стандарты ретінде қабылдады.
1980 жылдары еуропалық және американдық стандарттарды біріктіру жұмыстары басталды. Осы жұмыстың нәтижесінде 1996 жылғы қыркүйекте Халықаралық сауданы жеңілдету жөніндегі Жұмыс тобының 42-сессиясы «Әкімшілік, сауда және көлікте электронды деректер алмасу үшін Біріккен Ұлттар Ұйымының стандартын пайдалану» № 25 ұсыным қабылдады.
Осылайша. 1990 жылдардың басында EDI-FACT стандарты пайда болды және оны ISO (ISO 9735) қабылдады.
Бірақ американдық және еуропалық стандарттарды түпкілікті біріктіру болмады. Электрондық деректер алмасу үшін жаңа, неғұрлым перспективалы мүмкіндік пайда болды - Интернет арқылы деректер алмасу.
Деректерді тасымалдаудың төмен құнымен Интернеттің дамуы EDI жүйелерін жаңғыртуды өзекті етті. Нәтижесінде, 1990 жылдардың ортасында басқа стандарт әзірленді - EDIFACT over Internet (EDIINT), ол SMTP/S-MIME қауіпсіз электрондық пошта хаттамалары арқылы EDI транзакциясын беру жолын сипаттайды.
Электрондық коммерцияның пайда болуы мен танымалдылығының өсуі үшін бірқатар демографиялық және технологиялық алғышарттар бар, мысалы:
а) ақпараттық технологияларға, атап айтқанда, компьютерлер мен Интернетке кеңінен қол жеткізу;
б) қоғамның білім деңгейін көтеру және тиісінше технологиямен еркін жұмыс істеу;
в) технологиялық прогресс пен цифрлық революция көптеген цифрлық құрылғылардың бір-бірімен өзара әрекеттесуіне мүмкіндік берді, мысалы, компьютер, ұялы телефон және т.б.;
г) жаһандану, ашық экономика, әлемдік масштабтағы бәсеке;
e) электрондық коммерцияның кез келген адамға, кез келген уақытта және кез келген жерде қол жетімділігі.
f) уақытты үнемдеуге ұмтылу;
ж) тауарлар мен қызметтердің ассортиментінің өсуі, арнайы тауарлар мен қызметтерге сұраныстың артуы.

Бүгінгі күні электронды коммерцияның негізгі проблемаларының бірі қауіпсіздік проблемасы болып қала береді, т.б. тәуекелдерді азайту және ақпаратты қорғау.
Интернеттегі компанияның қалыпты жұмысының бұзылуының себептері мыналар болуы мүмкін: компьютерлік вирустар, қаржылық шығындарға әкелетін алаяқтық; құпия ақпаратты ұрлау; тұтынушылар туралы құпия ақпараты бар файлдарға заңсыз араласу және т.б.
Электрондық компанияның веб-сайтының қорғалу дәрежесі оның ақпаратының құпиялылық деңгейіне және оның сәйкестік қажеттілігіне байланысты. Мәселен, мысалы, несие картасының нөмірлері веб-сайтқа енгізілсе, онда веб-серверді қорғаудың ең жоғары дәрежесін қамтамасыз ету қажет.
Электрондық коммерцияда қауіпсіздікті қамтамасыз ету міндеттері пайдаланушының аутентификациясына, ақпараттың құпиялылығы мен тұтастығын сақтауға келеді: аутентификация – пайдаланушының түпнұсқалығын тексеру; құпиялылық – пайдаланушы ұсынған жеке ақпараттың сақталуын қамтамасыз ету; ақпараттың тұтастығы – берілетін ақпаратта бұрмаланулардың болмауы.
Хакерлер мен вирустар веб-сервердегі ақпараттың тұтастығына қауіп төндіруі мүмкін.
Хакер нашар қорғалған компьютерлер мен серверлерге еніп, арнайы бағдарламаларды - көрінбейтін бағдарламаларды орнатады, оларды табу өте қиын. Әдетте, мұндай көрінбейтін бағдарлама веб-сайтқа зиян келтірмейді, бірақ желіде үлкен кептеліс тудырады. Хакер өзінің шабуылының нысанасын анықтайды және алдын ала орнатылған бағдарламаны іске қосады, Интернет арқылы бірнеше компьютерге команда жібереді. Бұл коммерциялық кәсіпорын желісін шамадан тыс жүктейтін шабуылды бастайды.
Интернеттегі компьютерлер мен серверлердің қауіпсіздігін бұзудың тағы бір күрделі түрі - вирус. Вирустар жүйенің тұтастығын бұзады және ақпараттық қауіпсіздік шараларын жаңылыстырады. Вирустардан қорғаудың ең жақсы құралы - антивирустық бағдарламаларды орнату және мерзімді жаңарту, сонымен қатар желіаралық қалқандарды пайдалану. Брандмауэр – ақпаратты және файлдарды рұқсатсыз кіруден қорғау және тек рұқсат етілген тұлғаларға қол жеткізу үшін корпоративтік желі мен Интернет арасында орнатылған сүзгі. Осылайша, желіаралық қалқан компьютерлік вирустар мен хакерлердің кәсіпорын желісіне енуіне жол бермейді және Интернетке қосылған кезде оны сыртқы әсерден қорғайды.
Электрондық коммерцияны енгізу кезінде ең маңызды мәселелердің бірі ақпараттың құпиялылығы болып табылады. Пайдаланушы компанияға берген ақпарат сенімді қорғалған болуы керек. Компьютерлік желілер арқылы деректердің қауіпсіз және құпия берілуін қамтамасыз ету тәсілдерінің бірі криптография болып табылады, яғни. белгілі бір транзакцияға қатысатын тараптар ғана оқи алатындай деректерді шифрлау немесе кодтау.
Шифрлау кезінде хабарламаны жіберуші мәтінді алушыға белгілі арнайы кілтті пайдаланбай оқуға болмайтын таңбалар жиынына түрлендіреді. Шифрдың кілті компьютердің қатты дискісінде немесе иілгіш дискісінде сақталған символдар тізбегі болып табылады. Ақпараттық қауіпсіздік дәрежесі шифрлау алгоритміне және битпен өлшенетін кілт ұзындығына байланысты.
Шифрлау алгоритмдерінің екі түрі бар:

Хабарлама жіберушінің аутентификациясының ең танымал және перспективалы әдістерінің бірі электрондық цифрлық қолтаңба (ЭЦҚ) – қолмен қойылған қолтаңбаның электрондық баламасы болып табылады. Алғашқы цифрлық қолтаңбаны 1976 жылы Стэнфорд университетінен Уитфилд Диффи ұсынған. Ресей Федерациясының «Электрондық цифрлық қолтаңба туралы» Федералдық заңында электрондық цифрлық қолтаңба электрондық құжаттың жабық кілтін пайдалана отырып ақпаратты криптографиялық түрлендіру нәтижесінде алынған осы құжатты жалғандықтан қорғауға арналған электрондық құжаттың деректемесі болып табылады. ЭЦҚ және қолтаңба кілті сертификатының иесін сәйкестендіруге, сондай-ақ электрондық құжаттағы ақпараттың бұрмалануының жоқтығын анықтауға мүмкіндік береді.
Электрондық цифрлық қолтаңбаны қолдану процесі келесідей:
1. жіберуші хабарлама жасайды және оны бір мезгілде жіберушінің электрондық цифрлық қолтаңбасы болып табылатын өзінің жабық кілтімен шифрлайды. Бұл жағдайда хабарлама мәтінінің өзі де, құжаттың соңына тіркелген ЭЦҚ шифрланады.
2. жіберуші шифрланған хатты және оның ашық кілтін байланыс арналары арқылы алушыға береді;
3. Алушы жіберушінің ашық кілтін пайдаланып хабарламаның шифрын шешеді.
4. ЭЦҚ-мен бірге әдетте бар Хэш функцияларының бірі қолданылады. HASH функциясы хабарламаны өңдеу кезінде хабарламаның қорытындысы деп аталатын таңбалар жолын жасайды. Жіберуші хабарламаның қысқаша мазмұнын жасайды, оны шифрлайды және оны алушыға жібереді. Алушы хабарламаны бірдей HASH функциясымен өңдейді, сонымен қатар хабарламаның қысқаша мазмұнын алады. Егер екі хабарламаның қорытындылары сәйкес келсе, онда хабар бүлінусіз алынды.
5. Цифрлық сертификаттар белгілі бір тұлғаға немесе коммерциялық кәсіпорынға ашық кілттің иелігін растау үшін пайдаланылады. Цифрлық сертификат – бұл белгілі бір тұлғаның немесе кәсіпорынның жеке басын оның атын және ашық кілтін тексеру арқылы растау үшін куәландырушы орталық беретін құжат. Цифрлық сертификатты алу үшін сертификаттау орталығына хабарласып, қажетті ақпаратты беру қажет. Әрбір сертификаттау органы өз бағасын белгілейді және, әдетте, келесі жылға төленгеннен кейін ұзарту мүмкіндігімен бір жылға цифрлық сертификат береді.
Қауіпсіздік мәселелерін шешу үшін электрондық коммерция компаниялары SSL және SET технологиясын пайдаланады.
SSL протоколы Интернет арқылы берілетін деректерді қорғау үшін қолданылатын негізгі протокол болып табылады. Бұл протокол асимметриялық және симметриялық шифрлау алгоритмдерінің тіркесіміне негізделген. Ол үш негізгі функцияны қамтамасыз етеді: сервердің аутентификациясы, клиенттің аутентификациясы және SSL шифрланған қосылым.
SET хаттамасы коммерциялық банктер мен несие карталарының клиенттері арасындағы операциялар үшін қолданылатын хаттама болып табылады.

Кез келген бизнес бәсекелестік, ұрлық, қоғамдық артықшылықтардың тұрақсыздығы, табиғи апаттар және т.б. туындайтын тәуекелдермен байланысты. Дегенмен, электрондық коммерциямен байланысты тәуекелдердің өзіндік сипаттамалары мен көздері бар, соның ішінде:
Ұрылар.
Серіктестерді тарта алмау.
Жабдықтың ақаулары.
Қуат, байланыс желілері немесе желі ақаулары.
Жеткізу қызметіне тәуелділік.
Қарқынды бәсеке.
Бағдарламалық құрал қателері.
Саясат пен салық салудағы өзгерістер.
Шектеулі жүйе сыйымдылығы.

Ұрылар
Электрондық коммерцияға ең танымал қауіп компьютерлік хакерлерден келеді. Кез келген кәсіпорын қылмыскерлердің шабуыл қаупіне ұшырайды, ал ірі электрондық коммерция кәсіпорындары әртүрлі деңгейдегі компьютерлік хакерлердің назарын аударады.
Бұл назар аударудың себептері әртүрлі. Кейбір жағдайларда бұл жай ғана «таза спорттық қызығушылық», басқаларында зиян келтіру, ақша ұрлау немесе өнімді немесе қызметті тегін сатып алу ниеті.
Сайттың қауіпсіздігі келесі шаралардың жиынтығымен қамтамасыз етіледі:
Маңызды ақпараттың сақтық көшірмесін жасаңыз.
Жұмысқа тек саналы адамдарды тартуға мүмкіндік беретін және қызметкерлердің адалдығына ынталандыратын кадр саясаты. Ең қауіпті бұзу әрекеттері компанияның ішінен келеді.
Деректерді қорғау мүмкіндіктері бар бағдарламалық жасақтаманы пайдалану және оны дер кезінде жаңарту.
Персоналды мақсаттарды анықтауға және жүйенің әлсіз жақтарын тануға үйрету.
Сәтті және сәтсіз бұзу әрекеттерін анықтау үшін тексеру және тіркеу.
Әдетте, бұзу оңай болжауға болатын құпия сөздерге, жалпы конфигурация қателеріне және бағдарламалық құрал нұсқаларын уақтылы жаңартпауға байланысты сәтті болады. Өзіңізді күрделі емес ұрыдан қорғау үшін салыстырмалы түрде қарапайым шараларды қабылдау жеткілікті. Соңғы шара ретінде әрқашан маңызды деректердің сақтық көшірмесі болуы керек.

Серіктестерді тарта алмау
Хакерлердің шабуылдары ең үлкен алаңдаушылық туғызғанымен, электрондық коммерциядағы сәтсіздіктердің көпшілігі әлі де дәстүрлі экономикалық факторлардан туындайды. Үлкен электрондық коммерция сайтын құру және оны өткізу көп ақшаны қажет етеді. Компаниялар қысқа мерзімді инвестицияларды қалайды, бұл бренд нарықта пайда болғаннан кейін тұтынушылардың тез өсуі мен кірісті ұсынады.
Электрондық коммерцияның күйреуі тек соған маманданған көптеген компаниялардың күйреуіне әкелді.

Жабдықтың ақаулары
Қызметі Интернетке бағытталған компанияның компьютерлерінің бірінің маңызды бөлігінің істен шығуы оған айтарлықтай зиян келтіретіні анық.
Жоғары жүктемеде жұмыс істейтін немесе маңызды функцияларды орындайтын тораптар үшін тоқтап қалудан қорғау кез келген құрамдастың істен шығуы бүкіл жүйенің жұмысына әсер етпеуі үшін қайталау арқылы қамтамасыз етіледі. Дегенмен, бұл жерде де мүмкін болатын тоқтап қалудан болатын шығындарды қосымша жабдықты сатып алу шығындарымен салыстырғанда бағалау қажет.
Apache, PHP және MySQL жүйелерінде жұмыс істейтін көптеген компьютерлерді орнату салыстырмалы түрде оңай. Сонымен қатар, MySQL репликация механизмі мәліметтер базасы бойынша ақпаратты жалпы синхрондауға мүмкіндік береді. Дегенмен, компьютерлердің көп болуы жабдықты, желілік инфрақұрылымды және хостингті ұстауға арналған жоғары шығындарды білдіреді.
Қуат, байланыс желілері, желі және жеткізу қызметінің ақаулары
Интернетке тәуелділік көптеген өзара байланысты қызмет провайдерлеріне тәуелділікті білдіреді, сондықтан бүкіл әлеммен байланыс кенеттен үзілсе, оның қалпына келуін күтуден басқа ештеңе жоқ. Дәл осы жағдай электр қуатының өшуі мен ереуіліне немесе басқа электр қуатының үзілуіне және ереуілге немесе жеткізуші компанияның басқа да үзілістеріне қатысты.
Егер сізде жеткілікті бюджет болса, бірнеше қызмет провайдерлерімен жұмыс жасай аласыз. Бұл қосымша шығындарды тудырады, бірақ олардың біреуі істен шыққан жағдайда үзіліссіз жұмыс істеуді қамтамасыз етеді. Үздіксіз қуат көздерін орнату арқылы төтенше қуат үзілістерін қорғауға болады.

Қарқынды бәсеке
Егер сіз көшеде дүңгіршекті ашсаңыз, бәсекелестік ортаны бағалау қиын емес - бәсекелестер көз алдында бірдей өнімді сататын барлық адамдар болады. Электрондық коммерция жағдайында жағдай біршама күрделірек.
Жеткізу құнына, валюталық ауытқуларға және еңбек шығындарының айырмашылығына байланысты бәсекелестер кез келген жерде орналасуы мүмкін. Интернет – жоғары бәсекеге қабілетті және қарқынды дамып келе жатқан орта. Танымал бизнес секторларында күн сайын дерлік жаңа бәсекелестер пайда болады.
Бәсекелестік тәуекелді бағалау қиын. Мұнда ең дұрыс стратегия – қазіргі технология деңгейін қолдау.

Бағдарламалық құрал қателері
Бизнес бағдарламалық құралға тәуелді болса, ол бағдарламалық жасақтамадағы қателерге осал болады.

Критикалық ақаулардың ықтималдығын сенімді бағдарламалық құралды орнату, ақаулы жабдықты әр ауыстырғаннан кейін тестілеу және ресми тестілеу процедураларын қолдану арқылы азайтуға болады. Жүйеге енгізілген кез келген инновацияларды мұқият тестілеу арқылы сүйемелдеу өте маңызды.
Бағдарламалық құралдың ақауларынан туындаған зиянды азайту үшін барлық деректердің сақтық көшірмесін дереу жасау керек. Кез келген өзгертулер енгізу кезінде алдыңғы бағдарлама конфигурацияларын сақтау керек. Ықтимал ақауларды тез анықтау үшін жүйені тұрақты бақылау қажет.

Салық саясатындағы өзгерістер
Көптеген елдерде электрондық бизнес қызметі заңмен анықталмаған немесе жеткілікті түрде анықталмаған. Алайда, бұл жағдай мәңгілікке созылуы мүмкін емес, мәселенің реттелуі кейбір кәсіпорындардың жабылуына әкелетін бірқатар мәселелерге әкеледі. Сонымен қатар, салықтың жоғарылау қаупі әрқашан бар.
Бұл проблемаларды болдырмау мүмкін емес. Бұл жағдайда жағдайды мұқият қадағалап, кәсіпорын қызметін заңға сәйкестендіру бірден-бір орынды әрекет болады. Өз мүдделеріңіз үшін лобби жасау мүмкіндігі де зерттелуі керек.

Шектеулі жүйе сыйымдылығы
Жүйені жобалау кезеңінде сіз оның өсу мүмкіндігін міндетті түрде ескеруіңіз керек. Табыс жүктемелермен тығыз байланысты, сондықтан жүйе жабдықты кеңейтуге мүмкіндік беруі керек.
Шектеулі өнімділікті арттыруға аппараттық құралдарды ауыстыру арқылы қол жеткізуге болады, бірақ тіпті ең озық компьютердің жылдамдығының шегі бар, сондықтан бағдарламалық қамтамасыз ету белгіленген шекке жеткенде жүктемені бірнеше жүйеге бөлу мүмкіндігін қамтамасыз етуі керек. Мысалы, деректер қорын басқару жүйесі бір уақытта бірнеше машиналардан сұраныстарды өңдеу мүмкіндігі болуы керек.
Жүйені кеңейту ауыртпалықсыз емес, бірақ әзірлеу сатысында уақтылы жоспарлау клиенттер санының көбеюіне байланысты көптеген қиындықтарды болжауға және оларды алдын-ала болдырмауға мүмкіндік береді.

Қорытынды
Интернетке қосылу орасан зор ақпаратқа қол жеткізудің арқасында орасан зор пайда әкелсе де, қауіпсіздік деңгейі төмен сайттар үшін де қауіпті. Интернет маңызды қауіпсіздік мәселелерінен зардап шегеді, олар еленбесе, дайын емес сайттар үшін апат болуы мүмкін. TCP/IP дизайнындағы қателер, хост әкімшілігінің күрделілігі, бағдарламалардағы осалдықтар және бірқатар басқа факторлар бірігіп қорғалмаған сайттарды шабуылдаушылардың әрекеттеріне осал етеді.
Интернетке қосылудың қауіпсіздік салдарын дұрыс қарастыру үшін ұйымдар келесі сұрақтарға жауап беруі керек:
Хакерлер ішкі жүйелерді бұза алады ма?
Ұйымның маңызды ақпараты Интернет арқылы тасымалдану кезінде бүлінуі (өзгерту немесе оқу) мүмкін бе?
Ұйымның жұмысына кедергі келтіруге бола ма?
Мұның бәрі маңызды сұрақтар. Интернет қауіпсіздігінің негізгі мәселелерімен күресудің көптеген техникалық шешімдері бар. Дегенмен, олардың барлығының бағасы бар. Көптеген шешімдер қауіпсіздікті арттыру үшін функционалдылықты шектейді. Басқалары Интернетті пайдаланудың қарапайымдылығына қатысты айтарлықтай ымыраға келуді талап етеді. Тағы басқалары маңызды ресурстарды инвестициялауды талап етеді - қауіпсіздікті жүзеге асыру және қолдау үшін жұмыс уақыты және жабдық пен бағдарламаларды сатып алу және қызмет көрсету үшін ақша.
Интернет қауіпсіздігі саясатының мақсаты ұйым өзін қалай қорғайтынын шешу болып табылады. Саясат әдетте екі бөліктен тұрады - жалпы принциптер мен арнайы жұмыс ережелері (олар төменде сипатталған арнайы саясатқа баламалы). Жалпы принциптер Интернет қауіпсіздігіне көзқарасты басшылыққа алады. Ережелер рұқсат етілген және тыйым салынған нәрселерді анықтайды. Ережелер арнайы рәсімдермен және әртүрлі нұсқаулармен толықтырылуы мүмкін.
Интернет қауіпсіздігі туралы әдебиеттерде көрінетін саясаттың үшінші түрі бар екені рас. Бұл техникалық тәсіл. Бұл басылымда техникалық тәсіл саясаттың қағидалары мен ережелерін жүзеге асыруға көмектесетін талдау ретінде түсінілетін болады. Бұл ұйымдық менеджмент түсіну үшін әдетте тым техникалық және күрделі. Сондықтан оны саясат сияқты кеңінен қолдануға болмайды. Дегенмен, бұл мүмкін шешімдерді сипаттау кезінде, саясатты сипаттаудың қажетті элементі болып табылатын келіссөздерді анықтауда қажет.
Интернет-саясаттардың тиімді болуы үшін саясаткерлер өздері жасау керек болатын айырбастарды түсінуі керек. Бұл саясат ұйымның басқа да басқару құжаттарына қайшы келмеуі керек. Бұл жарияланым техникалық мамандарды Интернет саясаткерлеріне түсіндіру үшін қажет ақпаратты беруге тырысады. Ол саясаттың алдын ала дизайнын қамтиды, оның негізінде нақты техникалық шешімдер қабылдануы мүмкін.
Интернет көптеген адамдар мен ұйымдардың жұмыс істеу тәсілін өзгерткен маңызды ресурс болып табылады. Дегенмен, Интернет маңызды және кең таралған қауіпсіздік мәселелерінен зардап шегеді. Көптеген ұйымдар шабуылдаушылар тарапынан шабуылға ұшырады немесе тексерілді, бұл олардың үлкен қаржылық шығынға ұшырауына және беделін жоғалтуына әкелді. Кейбір жағдайларда ұйымдар Интернеттен уақытша ажыратуға мәжбүр болды және хост пен желі конфигурациясындағы ақаулықтарды жоюға айтарлықтай ақша жұмсады. Бұл мәселелерді білмейтін немесе елемейтін сайттар өздеріне зиянды әрекеттердің онлайн шабуылына ұшырайды. Тіпті қауіпсіздік шараларын жүзеге асырған сайттар да желілік бағдарламаларда жаңа осалдықтардың пайда болуына және кейбір шабуылдаушылардың тұрақты болуына байланысты бірдей қауіптерге ұшырайды.
Негізгі мәселе - Интернет қауіпсіз желі ретінде жасалмаған. TCP/IP ағымдағы нұсқасындағы оның кейбір мәселелері:
Мәліметтерді ұстап алу және желідегі машиналар мекенжайларын бұрмалаудың қарапайымдылығы - Интернет-трафиктің негізгі бөлігін шифрланбаған деректер құрайды. Электрондық пошталарды, құпия сөздерді және файлдарды оңай қол жетімді бағдарламалар арқылы ұстауға болады.
TCP/IP құралдарының осалдығы - TCP/IP құралдарының бірқатары қауіпсіз болу үшін әзірленбеген және білікті шабуылдаушылар оларды бұзуы мүмкін; тестілеу үшін қолданылатын құралдар әсіресе осал.
Саясаттың жоқтығы - көптеген сайттар бұл рұқсатты теріс пайдалану мүмкіндігін есепке алмай, Интернеттен өздеріне кең қол жетімділікті қамтамасыз ететіндей конфигурацияланған; Көптеген сайттар қажет болғаннан көп TCP/IP қызметтеріне рұқсат береді және шабуылдаушыларға көмектесетін компьютерлері туралы ақпаратқа кіруді шектеуге әрекет жасамайды.
Конфигурациялау қиын — хостқа кіруді басқару күрделі; Орнатулардың тиімділігін дұрыс конфигурациялау және тексеру жиі қиын. Қателікпен қате конфигурацияланған құралдар рұқсатсыз кіруге әкелуі мүмкін.

Пайдаланылған әдебиеттер тізімі
1. Ақпараттық технологиялар серверінен материалдар - http://www. citforum.ru
2. Электрондық коммерция дегеніміз не? В.Завалеев, Ақпараттық технологиялар орталығы. http://www.citforum.ru/ marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Қантарұлы А.А., Царев В.В. Университеттерге арналған оқулықтар: Электрондық коммерция 2002, 320 бет.

| Жарияланымдар тізіміне

Сауда кәсіпорындарының, сауда желілерінің және олардың инфрақұрылымының ақпараттық қауіпсіздігін қамтамасыз ету

Ресейдегі сауданы дамытудың қазіргі тенденциялары олардың құрамындағы кәсіпорындардың санын көбейту, әртүрлі операторлардың активтерін шоғырландыру, бірігулер мен жұтуларды жүргізу, желілік тарату орталықтарын құру арқылы компаниялардың бірігуіне әкеледі. Осының нәтижесінде ақпараттық технологияларға қойылатын талаптар мен олардың сауданы ұйымдастырудағы маңызы артып келеді. Кез келген компанияда ақпарат ағындарын өңдеу жоғары жылдамдықты және абсолютті дәлдікті талап етеді.

1-сурет.Желілік компанияның басқару жүйесінде айналатын негізгі ақпарат ағындары

Заманауи дүкенді, көтерме сауда кәсіпорнын және дистрибьюторлық желіні басқару интеграцияланған сауда, қойма және бухгалтерлік есептің автоматтандырылған жүйелерін пайдалануды көздейді. Бүгінгі таңда менеджерлер ақпараттық жүйелерден алынған мәліметтер негізінде басқару шешімдерін қабылдайды. Осылайша, кәсіпорынның құрылымы қандай болса да, келісім-шарттарды, тауарлық-материалдық құндылықтардың қозғалысын, ақша қаражаттарын есепке алу және бухгалтерлік есеп бірыңғай ақпараттық кеңістікте жүргізілуі керек.

Сауда процесін басқаруды автоматтандыру үшін кәсіпорында ақпараттық жүйе құрылады, оған мыналар кіруі мүмкін:

Ақпараттық жүйедегі деректер компания қызметкерлерінен және дистрибьюторлардың кеңсе жүйелерінен келеді. Болашақта олар кәсіпорынды жедел басқару, жалпы компанияның, аймақтық кеңселер мен дистрибьюторлардың қызметін бақылау және талдау үшін қолданылады. Ақпараттық желі деректерінің тұтынушылары компанияның менеджерлері мен басшылары және дистрибьюторлар болып табылады. 1 және 2-суреттерде сауда кәсіпорнының (сауда желісінің) басқару жүйесінде айналатын негізгі ақпарат ағындары, олардың негізгі көздері мен тұтынушылары көрсетілген.

Стратегиялық басқару шешімдерін қабылдау үшін кәсіпорынның басшысы, қаржы директоры, бас бухгалтері және аға менеджерлері кәсіпорынның жай-күйі мен оның даму тенденцияларының толық бейнесін ұсынуы қажет (1-сурет).

Бухгалтериядағы жұмыс орындарында, сауда алаңында, қоймада жұмысшылар жалпы ақпарат ағынының жеке фрагменттерімен ғана айналысады. Олардың міндеттері мен функциялары, әдетте, тауарларды қабылдау мен тұтынуды өңдеу және есепке алу, шот-фактураларды беру, кассада жұмыс істеу және т.б. (Cурет 2.).

Сауда кәсіпорындарының тәуекелдерін және ақпараттық жүйелердің осалдығын ескере отырып, компания оқиғалардан кейін әрекет ететін тәсілді қабылдау жауапсыз болып көрінеді, яғни. олар болғаннан кейін. Бұдан шығатыны, компания ақпараттық қауіпсіздік жүйесін құруы керек. Ол басқару жүйесінің негізгі элементтерінің бірі болып табылады.

Ақпараттық жүйенің жұмысын тоқтату бизнес үшін қайтымсыз салдарға әкелуі мүмкін. Осылайша, Gerling сақтандыру компаниясының мәліметі бойынша, егер ақпараттық жүйе толығымен тоқтатылса, сауда компаниялары 2,5 күн ғана жұмыс істей алады,ал үздіксіз өндірістік циклі жоқ өңдеуші кәсіпорындар үшін бұл көрсеткіш 5 күнді құрайды.

Ақпараттық қауіпсіздіктің тиімді жүйесін құрудың бастапқы деректері оның мақсаттары мен құрылымы, қауіп түрлері мен олардың көздері, ықтимал қарсы шаралар туралы нақты идеялар болуы керек.

Қауіптердің көздері сыртқы және ішкі болуы мүмкін.

2-сурет.Бөлшек сауда кәсіпорнының немесе сауда желісінің әртүрлі бөлімшелерінің қызметкерлері үшін деректер алмасу жүйесі

Сыртқы қауіптеркөбінесе бәсекелестерден, қылмыстық топтардан және заңдық және әкімшілік органдардағы сыбайлас жемқорлыққа ұшыраған шенеуніктерден келеді. Сыртқы қауіптердің әрекеттері пассивті сақтау құралдарына, алмасу процесі кезінде ақпаратты жоюға, ақпаратты жоюға немесе оны сақтау құралдарын зақымдауға бағытталған болуы мүмкін. Қауіп-қатер компания қызметкерлеріне бағытталған және пара алу, қорқыту, бопсалау, коммерциялық құпияны құрайтын ақпаратты алу мақсатында ақпарат алу немесе жетекші мамандарды айдап әкету және т.б. түрінде көрсетілуі мүмкін.

Ішкі қауіптерең үлкен қауіп төндіреді. Олар біліксіз басшылардан, жосықсыз және біліктілігі жоқ кадрлардан, жымқырушылар мен алаяқтардан, ескірген өндіріс құралдарынан шығуы мүмкін. Өзін-өзі бағалаудың жоғары деңгейі бар жеке қызметкерлер өздерінің амбицияларына (жалақы деңгейі, басшылықпен, әріптестермен қарым-қатынас және т. Мысалы, компьютерлік вирусты енгізу.

Ақпараттық ресурстардың зақымдалуына мыналар себеп болуы мүмкін:

Негізгі ақпарат көздері:адамдар, құжаттар, басылымдар, техникалық ақпарат құралдары, техникалық құралдар, өнімдер мен қалдықтар.

Рұқсат етілмеген ақпаратты алудың негізгі жолдары:

Ақпараттық қауіпсіздікті қамтамасыз ету бойынша шаралар қабылдау мәселесінің өзектілігін келесі мысалдармен көрсетуге болады:

Осылайша, бизнес көшбасшылары ақпараттық қауіпсіздіктің маңыздылығын түсініп, болашақ трендтерді болжап, басқаруды үйренуі керек. Қауіпсіздік жүйелерінің тиімді жұмысы бүкіл кәсіпорын үшін бірінші кезектегі міндет болуы керек.

Ақпаратты қорғаудың негізгі бағыттары:

Ақпараттық қауіпсіздік бағдарламасын іске асыру тек бір бөлек құралды немесе шараны немесе қарапайым комбинацияны пайдалана отырып, қажетті қауіпсіздік деңгейін қамтамасыз ету мүмкін емес деген алғышартқа негізделген қауіпсіздік жүйелері мен құралдарын кешенді пайдалану негізінде жүзеге асырылуы тиіс. олардың. Оларды жүйелі түрде үйлестіру қажет. Бұл жағдайда кез келген қауіпті жүзеге асыру қорғалатын объектіге қорғаныстың барлық деңгейлері еңсерілген жағдайда ғана әсер етуі мүмкін.

Кез келген электрондық коммерция жүйесінің қауіпсіздігі оның деректеріне әртүрлі кедергілерден қорғауда жатыр. Барлық осы араласуларды бірнеше санатқа бөлуге болады:

· деректерді ұрлау (мысалы, деректер базасынан несие картасының нөмірлерін ұрлау);

· кедергі (мысалы, ақпараттың мұндай үлкен көлеміне арналмаған сайттың деректердің шамадан тыс жүктелуі);

· деректерді бұрмалау (мысалы, төлем және шот-фактура файлдарындағы сомаларды өзгерту немесе нақты сайтқа баратын ақпаратты айдау үшін жоқ сертификаттарды немесе сайттарды құру);

· мәліметтерді жою (мысалы, сайттан немесе пайдаланушыдан сайтқа жіберу кезінде);

· жасалған әрекеттерден бас тарту (мысалы, тапсырыс беру немесе тауарды алу фактісінен);

· адал пайдаланушының сайт объектілерін қасақана теріс пайдалануы;

· ақпаратқа рұқсатсыз қол жеткізу:

· деректерді рұқсатсыз көшіру, жаңарту немесе басқаша пайдалану;

· рұқсат етілмеген операциялар;

· деректерді рұқсатсыз қарау немесе беру (мысалы, чатта немесе форумда бүркеншік аттардың орнына келушілердің нақты есімдерін көрсету).

Сонымен қатар, осы саладағы қауіпсіздік мәселелерінде құқықтық сипаттағы бірқатар объективті проблемалар бар екенін ескермеу керек - технологиялар заңнамалық базадан әлдеқайда жылдам дамып келеді, шабуылдаушыны ұстау қиын. қылмыс әрекеті, ал қылмыстардың дәлелдері мен іздері із-түзсіз оңай жойылады. Мұның бәрі компанияларға өздерінің электрондық бизнесін қорғау саясатын мұқият әзірлеуді қажет етеді. Толық және абсолютті қауіпсіздікке қол жеткізу мүмкін емес, себебі электрондық бизнес жүйелері әртүрлі жеткізушілерден дайын және реттелетін бағдарламалық қамтамасыз ету қолданбаларына және қызмет жеткізушілері немесе іскер серіктестер ұсынатын сыртқы қызметтердің айтарлықтай санына негізделген. Бұл құрамдас бөліктер мен қызметтердің едәуір бөлігі әдетте тапсырыс берушінің IT мамандары үшін түсініксіз болып табылады, сонымен қатар олардың көпшілігін жасаушылар жиі өзгертеді және жетілдіреді. Бұлардың барлығын ықтимал қауіпсіздік ақауларына мұқият тексеру мүмкін емес, ал бұл ақаулардың барлығын жою одан да қиын. Бұл мүмкін болса да, адам факторы деп аталатын факторды жоққа шығаруға болмайды, өйткені барлық жүйелерді адамдар жасайды, өзгертеді және басқарады және Компьютерлік қауіпсіздік институтының зерттеулеріне сәйкес респонденттердің 81% -ы компаниялар үшін ең үлкен алаңдаушылық екенін атап өтті. ішкі қауіп – өз қызметкерлерінің қасақана немесе әдейі емес әрекеттері болып табылады.

Ішкі қауіптерден қорғау проблемасының екі аспектісі бар: техникалық және ұйымдастырушылық. Техникалық аспект ақпаратқа рұқсатсыз қол жеткізудің кез келген мүмкіндігін жоюға ұмтылу болып табылады. Осы мақсатта келесідей танымал құралдар қолданылады:

парольдерді сақтау және оларды үнемі өзгерту; жүйені басқаруға қажетті ең аз құқықтарды қамтамасыз ету;

Персоналды ауыстыру немесе қызметкер жұмыстан босатылған кезде қол жеткізуді дереу жою кезінде қол жеткізу тобын уақтылы өзгертудің стандартты процедураларының болуы.

Ұйымдастырушылық аспект – компанияның хакерлік шабуылдарынан қорғаудың және алдын алудың сирек қолданылатын әдістерін кәдімгі операцияларға айналдыратын ұтымды ішкі қауіпсіздік саясатын әзірлеу:

· кәсіпорында жалпы қауіпсіздік мәдениетін енгізу;

· бұзуға бағдарламалық қамтамасыз етуді тестілеу;

· әрбір бұзу әрекетін қадағалау (қаншалықты сәтті болса да) және оны мұқият тексеру;

· қызметкерлерді қауіпсіздік және киберқылмыс мәселелері бойынша жыл сайын оқыту, оның ішінде хакерлік шабуылдардың нақты белгілері туралы ақпаратты, осындай әрекетті анықтау мүмкіндігі бар қызметкерлер санын барынша арттыру;

· ақпаратты әдейі өзгерту немесе жою жағдайларын өңдеудің нақты процедураларын енгізу.

Сыртқы енуден қорғау үшін бүгінде бастапқы кезеңде бұзу әрекеттерін анықтауға және мүмкіндігінше сыртқы желілер арқылы шабуылдаушының жүйеге кіруіне жол бермейтін сүзгілердің әртүрлі түрлері болып табылатын көптеген жүйелер бар.

· маршрутизаторлар – екінші ретті желілер арасында орналасқан және оған қосылған желі сегменттерінің кіріс және шығыс трафигін басқаратын желілік трафикті басқару құрылғылары;

· брандмауэрлер – сұраулар түрлерін белгілі бір бақылауды пайдалана отырып, сайтқа сыртқы шабуылдарды бақылайтын және басатын бағдарламалық қамтамасыз етуді пайдалана отырып, жеке желілерді жалпыға ортақ желілерден оқшаулау құралдары;

қолданбалы шлюздер – желі әкімшісі пакетті сүзуді жүзеге асыратын маршрутизаторларды бағыттайтын қауіпсіздік саясатын жүзеге асыратын құрал;

· Intrusion Detection Systems (IDS) – әдейі шабуылдарды және пайдаланушылардың жүйелік ресурстарды әдейі теріс пайдалануын анықтайтын жүйелер;

· қауіпсіздікті бағалау құралдары (арнайы сканерлер және т.б.) – желіде ақаулардың бар-жоғын үнемі тексеретін және енгізілген қауіпсіздік саясатының тиімділігін тексеретін бағдарламалар.

Жалпы, компания ең алдымен нені және кімнен қорғау керектігін анықтауы керек. Бұл саладағы негізгі ойыншылар компанияның акционерлері, тұтынушылары, қызметкерлері және іскер серіктестері болып табылады және олардың әрқайсысы үшін жеке қорғау схемасын әзірлеу қажет. Қауіпсіздік талаптарының барлығы электрондық коммерция қолданбаларын іске асыруға және компанияның әртүрлі бизнес бағыттары бойынша олардың қауіпсіздік шараларына нұсқаулық ретінде қызмет ету үшін құжатталуы керек. Бұған қоса, бұл компания ішінде қауіпсіздік мәселелеріне қызмет көрсету үшін жеке бюджетті құруға және осы қажеттіліктерге арналған шығындарды оңтайландыруға мүмкіндік береді, әрбір жеке бизнес-жобаны әзірлеу кезінде қауіпсіздік мәселелерінің қайталануын болдырмайды.

Өкінішке орай, бүгінгі тәжірибе қауіпсіздік саясаты IT бөлімінің басшылығына қалдырылған, оның қызметкерлері технологиялық мәселелер қандай да бір «қағаз» нұсқаулардан гөрі маңызды деп санайды, сонымен қатар бизнестің белгілі бір салаларындағы мамандар емес. бұл да компания ішінде нақты қорғау процедураларын талап етеді.

Сонымен қатар, әртүрлі бағдарламалық жасақтаманы жұптау кезінде біріктірілген өнімнің әрқайсысының өндірушілеріне белгісіз нақты мәселелер туындауы мүмкін. Мұндай өзара әрекеттесуді зерттеу кез келген технологиялық және бюджеттік шешімдерден бұрын болуы керек. Ал осы уақытқа дейін тым аз көңіл бөлінді.

Электрондық коммерция қауіптерінің бірнеше түрі бар:

Жүйеге сырттан ену.

Компания ішінде рұқсатсыз кіру.

Ақпаратты қасақана ұстау және оқу.

Деректерді немесе желілерді әдейі бұзу.

Қате (алаяқтық мақсаттар үшін) пайдаланушы идентификациясы.

Аппараттық және бағдарламалық құралды бұзудан қорғау.

Бір желіден екіншісіне пайдаланушының рұқсатсыз кіруі.

Вирустық шабуылдар.

Қызмет көрсетуден бас тарту.

Қаржылық алаяқтық.

Бұл қауіптерге қарсы тұру үшін әртүрлі технологияларға негізделген бірқатар әдістер қолданылады, атап айтқанда: шифрлау – оның оқылуын немесе бұрмалануын болдырмайтын деректерді кодтау; жіберуші мен алушының жеке басын куәландыратын электрондық цифрлық қолтаңбалар; электронды кілттерді пайдаланатын жасырын технологиялар; брандмауэрлер; виртуалды және жеке желілер.

Ешбір қорғау әдісі әмбебап емес, мысалы, желіаралық қалқандар вирустарды тексермейді және деректердің тұтастығын қамтамасыз ете алмайды. Автоматты қорғауды бұзуға қарсы тұрудың мүлдем сенімді әдісі жоқ және оны бұзуға уақыт мәселесі ғана. Бірақ мұндай қорғанысты бұзуға кететін уақыт, өз кезегінде, оның сапасына байланысты. Жаңа технологиялар біршама біркелкі емес енгізілсе де, Интернеттегі қосылымдар мен қосымшаларды қорғауға арналған бағдарламалық және аппараттық құралдар ұзақ уақыт бойы әзірленгенін айту керек.

Электрондық коммерцияны жүзеге асыратын компанияны әр кезеңде қандай қауіптер күтіп тұр:

Электрондық дүкен серверінің веб-парағын ауыстыру (сұраныстарды басқа серверге қайта бағыттау), клиент туралы, әсіресе оның несиелік карталары туралы ақпаратты үшінші тұлғаларға қолжетімді ету;

Электрондық дүкен қызметкерлері тарапынан жалған бұйрықтар мен түрлі алаяқтық нысандарын жасау, мысалы, деректер базасын манипуляциялау (статистика көрсеткендей, компьютерлік оқиғалардың жартысынан көбі өз қызметкерлерінің қызметімен байланысты);

Электрондық коммерция желілері арқылы берілетін деректерді ұстау;

Шабуылшылардың компанияның ішкі желісіне енуі және электрондық дүкеннің құрамдас бөліктерінің бұзылуы;

Қызмет көрсету шабуылдарынан бас тартуды жүзеге асыру және электрондық коммерция түйінінің жұмысын бұзу немесе өшіру.

Осындай қатерлерді іске асыру нәтижесінде компания тұтынушылардың сенімін жоғалтады, әлеуетті және/немесе жетілмеген транзакциялардан ақша жоғалтады, электронды дүкеннің қызметі бұзылады, жұмысын қалпына келтіруге уақытты, ақшаны және адам ресурстарын жұмсайды.

Әрине, интернет арқылы берілетін ақпаратты ұстауға байланысты қауіптер тек электронды коммерция секторымен шектелмейді. Соңғысына қатысты оның жүйелерінде үлкен экономикалық маңызы бар ақпараттардың болуы ерекше маңызға ие: несие картасының нөмірлері, шот нөмірлері, келісім-шарттардың мазмұны және т.б.

Электрондық коммерцияны қамтамасыз ету

Қауіпсіздікті қамтамасыз ету табысты электрондық бизнестің қажетті шарты ғана емес, сонымен қатар контрагенттер арасындағы сенімді қарым-қатынастың негізі болып табылады. Электрондық бизнестің мәні белсенді ақпарат алмасуды және қорғалмаған қоғамдық желі арқылы транзакцияларды қамтиды, бұл кәсіпкерлік субъектілері арасындағы сенімді қарым-қатынастарсыз мүмкін емес. Сондықтан қауіпсіздікті қамтамасыз ету күрделі болып табылады, оның ішінде веб-серверлер мен веб-қосымшаларға қол жеткізу, пайдаланушылардың аутентификациясы мен авторизациясы, деректердің тұтастығы мен құпиялығын қамтамасыз ету, электрондық цифрлық қолтаңбаны енгізу және т.б.

Интернетті коммерцияландырудың өсуімен желі арқылы берілетін ақпаратты қорғауға көбірек көңіл бөлінуде. Интернет арқылы қауіпсіз өзара әрекеттесуді ұйымдастыруға арналған мамандандырылған хаттамалар (мысалы, SET, SOCKS5, SSL, SHTTP және т.б.) бүкіл әлемде кең танылды және шетелдік әзірлеушілермен Интернетке негізделген банктік және сауда электрондық жүйелерін құру үшін сәтті қолданылады.

Шетелде электрондық бизнестің ақпараттық қауіпсіздігі мәселесін тәуелсіз консорциум – Internet Security Task Force (ISTF) – ақпараттық қауіпсіздік құралдарын, электрондық бизнесті және Интернет қызметін жеткізуші компаниялардың өкілдері мен сарапшыларынан тұратын қоғамдық ұйым шешуде. провайдерлер.

ISTF басты назар аударуға тиіс ақпараттық қауіпсіздіктің он екі саласын анықтайды. электрондық бизнес ұйымдастырушылары:

Сәйкестендіретін ақпаратты объективті растау механизмі;

Жеке, жеке ақпаратқа құқық;

Қауіпсіздік оқиғаларының анықтамасы;

Корпоративтік периметрді қорғау;

Шабуылдардың анықтамасы;

Әлеуетті u1086 қауіпті мазмұнды бақылау;

Қатынасты басқару;

Әкімшілік;

Оқиғаларға реакция.

Электрондық цифрлық қолтаңбаның (ЭСҚ) алгоритмдерін қолдану көптеген қауіптерден сенімді қорғауға мүмкіндік беретіні белгілі, бірақ бұл алгоритмдер негізделген өзара әрекеттесу хаттамаларына, қатынастардың заңды түрде дұрыс құрылымына және логикалық түрде тұйықталған жағдайда ғана дұрыс. сенім жүйесі.

Ақпараттық қауіпсіздік ЭЦҚ есептеу және оны сәйкес пернелер жұбы арқылы тексеру процестерінің қарапайым логикасына негізделген, алайда логика іргелі математикалық зерттеулерге негізделген. Тек жабық кілттің иесі ғана ЭЦҚ есептей алады, ал жабық кілтке сәйкес ашық кілті бар кез келген адам оны тексере алады.

Әрине, ақпараттық қауіпсіздікті қамтамасыз етуге осы саланың мамандары тартылуы керек, бірақ жекелеген шаруашылық жүргізуші субъектілердің экономикалық қауіпсіздігіне жауапты мемлекеттік органдардың, меншік нысанына қарамастан кәсіпорындар мен мекемелердің басшылары бұл мәселелерді үнемі назарда ұстауы керек. олардың көру өрісі. Олар үшін төменде ақпараттық қауіпсіздіктің кешенді жүйесін ұйымдастырудың негізгі функционалдық құрамдастары берілген:

Байланыс хаттамалары;

криптографиялық құралдар;

Қоғамдық желілерден жұмыс станцияларына кіруді басқару құралдары;

антивирустық кешендер;

Шабуылдарды анықтау және тексеру бағдарламалары;

Пайдаланушыға қол жеткізуді басқаруды орталықтандырылған басқаруға арналған құралдар, сондай-ақ ашық желілер арқылы деректер пакеттері мен кез келген қолданбалардың хабарламаларымен қауіпсіз алмасу.

Интернетте стандарттау процесі арқылы ұсынылған технологияларды мұқият басқаратын көптеген комитеттер, негізінен ерікті ұйымдар бар. Интернет-инженерлік жұмыс тобының (IETF) негізгі бөлігін құрайтын бұл комитеттер бірнеше маңызды хаттамаларды стандарттап, олардың Интернетте қабылдануын жылдамдатты.

Деректер байланысына арналған TCP/IP тобы, электрондық поштаға арналған SMTP (қарапайым поштаны тасымалдау протоколы) және POP (пошта хаттамасы) және желіні басқаруға арналған SNMP (қарапайым желіні басқару протоколы) сияқты хаттамалар IETF әрекеттерінің тікелей нәтижесі болып табылады. Қолданылатын қауіпсіздік өнімінің түрі компанияның қажеттіліктеріне байланысты.

Қауіпсіз деректерді беру хаттамалары Интернетте танымал, атап айтқанда SSL, SET, IP v.6. Аталған хаттамалар құнды ақпаратты қорғау қажеттілігі ретінде Интернетте салыстырмалы түрде жақында пайда болды және бірден іс жүзінде стандарттарға айналды.

Өкінішке орай, Ресейде олар Интернетті қызметтің сол салаларға енгізу мүмкіндігіне әлі де сақтықпен қарайды.

құпия ақпаратты беру, өңдеу және сақтау. Ұқсас

Сақтық интернеттің ашықтығы мен қолжетімділігінен қорқатын отандық қаржы құрылымдарының консерватизмімен ғана емес, ішінара батыстық өндірістік компаниялардың ақпараттық қауіпсіздік бағдарламалық қамтамасыз етуінің көпшілігінің біздің нарыққа экспорттық шектеулермен енуімен түсіндіріледі. оларда енгізілген криптографиялық алгоритмдер. Мысалы, Microsoft және Netscape Communications сияқты өндірушілердің WWW серверлері мен браузерлеріне арналған бағдарламалық жасақтаманың экспорттық нұсқаларында SSL протоколы пайдаланатын бір кілтті және екі кілтті шифрлау алгоритмдерінің кілт ұзындығына шектеулер бар, бұл толық қамтамасыз етілмейді. Интернетте жұмыс істеу кезінде қорғаныс.

Дегенмен, электрондық коммерция қолданбалары ішкі қауіптерден басқа, Интернеттен шығатын сыртқы қауіптерге де сезімтал. Әр анонимді келушіге жеке логин идентификаторын тағайындау қисынсыз болғандықтан (қолданба өспейді), компаниялар аутентификацияның басқа түрін пайдалануы керек. Сонымен қатар, шабуылдарды тойтару үшін серверлерді дайындау қажет. Соңында, несие картасының нөмірлері сияқты құпия деректерге өте сақ болу керек.

Деректерді шифрлау

Бизнес веб-сайт құпия ақпаратты өңдейді (мысалы, тұтынушылық несие картасының нөмірлері). Мұндай ақпаратты Интернет арқылы ешқандай қорғаныссыз жіберу орны толмас зардаптарға әкелуі мүмкін. Кез келген адам жіберуді тыңдай алады және осылайша құпия ақпаратқа қол жеткізе алады. Сондықтан деректер шифрлануы және қауіпсіз арна арқылы берілуі керек. Деректерді қауіпсіз тасымалдауды жүзеге асыру үшін Secure Sockets Layer (SSL) протоколы қолданылады.

Бұл функцияны іске асыру үшін сандық сертификатты сатып алып, оны сервер(лер)іңізге орнатуыңыз керек. Сіз сертификаттау органдарының бірінен цифрлық сертификат алуға өтініш бере аласыз. Танымал коммерциялық сертификаттау ұйымдарына мыналар жатады: VerySign, CyberTrust, GTE.

SSL — HTTP (қауіпсіз болғанда HTTPS деп аталады), FTP және NNTP сияқты протоколдарға арналған схема. Деректерді тасымалдау үшін SSL пайдалану кезінде:

Деректер шифрланған;

Бастапқы сервер мен тағайындалған сервер арасында қауіпсіз байланыс орнатылды;

Сервердің аутентификациясы қосылған.

Пайдаланушы SSL арқылы несие картасының нөмірін жіберген кезде, хакер оның мазмұнын көре алмайтындай деректер дереу шифрланады. SSL желілік протоколға тәуелсіз.

Netscape серверінің бағдарламалық құралы сонымен қатар пайдаланушының жеке басын және хабардың тұтастығын куәландыратын және хабардың өз бағытын өзгертпегенін қамтамасыз ететін аутентификацияны — сертификаттарды және сандық қолтаңбаларды қамтамасыз етеді.

Аутентификация ақпарат алмасуға және қаржылық операцияларға қатысатын құжаттардың түпнұсқалығын тексеру үшін пайдаланушының жеке басын және электрондық цифрлық қолтаңбасын растауды қамтиды. Электрондық цифрлық қолтаңба – жалғандықты болдырмау үшін құжатқа тіркелетін деректер.

Интрузияны анықтау

Шабуылдарды анықтау жүйелері (IDS) шабуылдардың үлгілерін немесе іздерін анықтап, дабылдарды жасай алады.

операторларды ескертеді және маршрутизаторларды заңсыз ену көздеріне қосылуды тоқтатуға шақырады. Бұл жүйелер сонымен қатар қызмет көрсетуден бас тарту әрекеттерін болдырмайды.

Жұмыс сипаттамасы

Бұл жұмыстың мақсаты – электрондық коммерция түсінігін зерттеу және электрондық коммерцияның ақпараттық қауіпсіздігі мәселелерін қарастыру.
Тапсырмалар:
- электрондық коммерцияны анықтау;
- оның негізгі элементтерін, түрлерін, жағымды және жағымсыз жақтарын қарастыру;
- қауіптердің негізгі түрлерін және электрондық коммерция қауіпсіздігін қамтамасыз етудің негізгі жолдарын қарастыру.

Электрондық коммерцияның ақпараттық қауіпсіздігі (EC)

Интернетті пайдаланушылар саны бірнеше жүз миллионға жетті және «виртуалды экономика» түріндегі жаңа сапа пайда болды. Онда сатып алулар сауда сайттары арқылы, жаңа бизнес үлгілерін, өздерінің маркетингтік стратегиясын және т.б.

Электрондық коммерция (EC) – интернет арқылы тауарларды сатуға арналған кәсіпкерлік қызмет. Әдетте, ЕК екі нысаны бар:

* кәсіпорындар арасындағы сауда (бизнестен бизнеске, B2B);

* кәсіпорындар мен жеке тұлғалар арасындағы сауда, яғни. тұтынушылар (бизнестен тұтынушыға, B2C).

EC келесідей жаңа тұжырымдамаларды тудырды:

* Электрондық дүкен – тауарға сұраныс болған кезде өндірушілер немесе дилерлер пайдаланатын дисплей терезесі және сауда жүйелері.

* Электрондық каталог – әртүрлі өндірушілердің өнімдерінің үлкен ассортименті.

* Электрондық аукцион – мультимедиялық интерфейске, Интернетке кіру арнасына және өнім мүмкіндіктерін көрсетуге тән қосылымы бар интернет-технологияларды пайдаланатын классикалық аукционның аналогы.

* Электронды әмбебап дүкен – бұл кәдімгі әмбебап дүкеннің аналогы, онда қарапайым фирмалар өз тауарларын көрсетеді, тиімді тауар бренді бар (Гостиный двор, GUM және т.б.).

* Виртуалды қауымдастықтар (қауымдастықтар), онда сатып алушыларды қызығушылық топтары (фан-клубтар, қауымдастықтар және т.б.) ұйымдастырады.

EC саласындағы Интернет айтарлықтай пайда әкеледі:

* ірі жеке компаниялар үшін шикізат пен компоненттерді сатып алуды интернет биржаларына аударудан үнемдеу 25-30%-ға жетеді;

* нақты уақыт режимінде дүние жүзіндегі бәсекелес жеткізушілердің аукционға қатысуы олар тауарларды жеткізу немесе қызмет көрсету үшін бағдарламалаған бағалардың төмендеуіне әкеледі;

* дүние жүзінің түкпір-түкпірінен сатып алушылардың бәсекелестігі нәтижесінде тауарлар немесе қызметтер бағасының өсуі;

* қажетті жұмысшылар санын және құжат айналымының көлемін қысқарту арқылы үнемдеу.

Батыс елдеріндегі ЕК-дегі басым жағдай B2B секторына айналды, ол 2007 жылға қарай әртүрлі бағалаулар бойынша 3-тен 6 триллионға дейін жетеді. доллар. Өз бизнесін Интернетке көшіруден бірінші болып аппараттық және бағдарламалық қамтамасыз етуді сататын және компьютерлік және телекоммуникациялық қызметтерді ұсынатын компаниялар пайда тапты.

Әрбір интернет-дүкен екі негізгі қамтиды құрамдас бөліктер:

электронды витрина және сауда жүйесі.

Электронды витрина веб-сайтта сатылған тауарлар туралы ақпаратты қамтиды, дүкеннің деректер базасына қол жеткізуді қамтамасыз етеді, тұтынушыларды тіркейді, сатып алушының электронды «себетімен» жұмыс істейді, тапсырыстарды орналастырады, маркетингтік ақпаратты жинайды және ақпаратты сауда жүйесіне береді.

Сауда жүйесі тауарларды жеткізеді және олар үшін төлемді өңдейді. Сауда жүйесі - бұл бөлек компанияға тиесілі веб-серверде кеңістікті жалға алатын әртүрлі компанияларға тиесілі дүкендер жиынтығы.

Интернет-дүкеннің жұмыс технологиясыкелесідей:

Сатып алушы тауарлар мен бағалар каталогы (веб-сайт) бар электронды дүкен сөресінде қалаған тауарды таңдайды және жеке деректермен (толық аты-жөні, пошталық және электрондық пошта мекенжайлары, жеткізудің және төлеудің қолайлы әдісі) нысанды толтырады. Төлем интернет арқылы жүргізілсе, онда ақпараттық қауіпсіздікке ерекше көңіл бөлінеді.

Дайын өнімді интернет-дүкеннің сауда жүйесіне аудару,

тапсырыс толтырылған жерде. Сауда жүйесі қолмен немесе автоматты түрде жұмыс істейді. Қол жүйесі Posyltorg принципі бойынша жұмыс істейді, автоматтандырылған жүйені сатып алу және орнату мүмкін болмаған кезде, әдетте, тауар көлемі аз болған кезде.

Тауарларды жеткізу және төлеу. Тауарлар сатып алушыға жеткізіледі

ықтимал жолдардың бірімен:

* қала ішінде және оған жақын аудандарда курьерді сақтау;

* мамандандырылған курьерлік қызмет (соның ішінде шетелден);

* ала кету;

* мұндай нақты ақпарат телекоммуникация желілері арқылы жеткізіледі

өнім ақпарат ретінде.

Тауарлар үшін төлем келесі жолдармен жүзеге асырылуы мүмкін:

* алдын ала немесе тауарды алу кезінде;

* курьерге немесе нақты дүкенге барған кезде қолма-қол ақша;

* пошталық аударым бойынша;

* Банктік операция;

* жеткізілім кезіндегі қолма-қол ақша;

* несие карталарын пайдалану (VISA, MASTER CARD және т.б.);

жеке коммерциялық арқылы электрондық төлем жүйелері арқылы

банктер (TELEBANK, ASSIST және т.б.).

Жақында әлемде электронды коммерция немесе Интернет арқылы сауда айтарлықтай қарқынды дамып келеді. Әрине, бұл процесс

қаржы институттарының тікелей қатысуымен жүзеге асырылады. Сауда-саттықтың бұл әдісі, кем дегенде, жаңа электронды нарықты бизнес пен халықтың үлкен бөлігі пайдалана алатын жерде танымал бола түсуде.

Электрондық желілердегі коммерциялық әрекеттер кейбір физикалық шектеулерді жояды. Компьютерлік жүйелерін қосатын компаниялар

Интернет тұтынушыларға мереке және демалыс күндерінсіз тәулік бойы қолдау көрсете алады. Өнімдерге тапсырыстарды кез келген уақытта кез келген жерден қабылдауға болады.

Дегенмен, бұл «тиынның» екінші жағы бар. Электрондық коммерция неғұрлым кең дамыған шетелде транзакциялар немесе тауарлардың құны көбінесе 300-400 доллармен шектеледі. Бұл компьютерлік желілердегі ақпараттық қауіпсіздік мәселелерінің жеткіліксіз шешімімен байланысты. БҰҰ-ның Қылмыстың алдын алу және бақылау комитетінің мәліметінше, компьютерлік қылмыс халықаралық проблемалардың бірі деңгейіне жетті. АҚШ-та қылмыстық әрекеттің бұл түрі табыстылығы бойынша қару-жарақ пен есірткі саудасынан кейін үшінші орында.

2006 жылы Интернет арқылы ғаламдық электрондық коммерция айналымының көлемі,

Forrester Tech. болжамы бойынша, ол 1,8-ден 2 триллионға дейін болуы мүмкін. долларды құрайды. Қауіпсіздік деңгейлері ағымдағы деңгейде қалса, ғаламдық электрондық коммерция айналымы одан да аз болуы мүмкін. Бұдан шығатыны, электронды бизнестің дамуын шектейтін фактор болып табылатын электрондық коммерция жүйесінің қауіпсіздігінің төмендігі.

Электрондық коммерцияның экономикалық қауіпсіздігін қамтамасыз ету мәселесін шешу, ең алдымен, онда қолданылатын ақпараттық технологияларды қорғау, яғни ақпараттық қауіпсіздікті қамтамасыз ету мәселелерін шешумен байланысты.

Бизнес-процестерді интернет-ортаға біріктіру қауіпсіздік жағдайының түбегейлі өзгеруіне әкеледі. Электрондық құжат негізінде құқықтар мен міндеттерді жасау құжатты жіберушіден де, оны алушыдан да қауіп-қатерлердің барлық спектрінен жан-жақты қорғауды талап етеді. Өкінішке орай, электрондық коммерция кәсіпорындарының менеджерлері ақпараттық қауіптердің маңыздылығын және олардың ресурстарын қорғауды ұйымдастырудың маңыздылығын соңғысы ақпараттық шабуылдарға ұшырағаннан кейін ғана түсінеді. Көріп отырғаныңыздай, аталған кедергілердің барлығы ақпараттық қауіпсіздік саласына қатысты.

Коммерциялық операцияларды жүргізуге қойылатын негізгі талаптарға құпиялылық, тұтастық, аутентификация, авторизация, кепілдіктер және құпиялық жатады.

Ақпараттық қауіпсіздікке қол жеткізу кезінде оның қолжетімділігін, құпиялылығын, тұтастығын және құқықтық маңыздылығын қамтамасыз ету негізгі тапсырмалар . Әрбір қауіп қауіпсіз ақпараттың осы төрт қасиетіне немесе сапасына қалай әсер етуі мүмкін екендігі тұрғысынан қарастырылуы керек.

Құпиялылықшектелген ақпарат тек ол үшін арналған адамдар үшін қолжетімді болуы керек дегенді білдіреді. астында тұтастықақпарат оның бұрмаланбаған түрде өмір сүру қасиеті ретінде түсініледі. Қол жетімділікақпарат жүйенің тиісті өкілеттігі бар субъектілерге ақпаратқа уақтылы, кедергісіз қол жеткізуді қамтамасыз ету мүмкіндігімен анықталады. Құқықтық маңызысоңғы кездері елімізде ақпараттық қауіпсіздікті қамтамасыз етудің нормативтік-құқықтық базасын құрумен қатар ақпарат маңызды бола бастады.

Алғашқы төрт талапты техникалық құралдармен орындауға болатын болса, соңғы екеуін орындау техникалық құралдарға да, жеке тұлғалар мен ұйымдардың жауапкершілігіне де, тұтынушыларды сатушылар тарапынан ықтимал алаяқтықтан қорғайтын заңдардың сақталуына да байланысты.

Кешенді ақпараттық қауіпсіздікті қамтамасыз ету шеңберінде, ең алдымен, кілтті бөліп көрсету қажет электрондық қауіпсіздік саласындағы проблемалар бизнес мыналарды қамтиды:

байланыс арналары бойынша ақпаратты беру кезінде оны қорғау; компьютерлік жүйелерді, деректер қорын және электрондық құжат айналымын қорғау;

ақпаратты электронды түрде ұзақ сақтауды қамтамасыз ету; транзакция қауіпсіздігін, коммерциялық ақпараттың құпиялығын, аутентификацияны, зияткерлік меншікті қорғауды және т.б.

Электрондық коммерция қауіптерінің бірнеше түрі бар:

 Жүйеге сырттан ену.

 Компания ішінде рұқсатсыз кіру.

 Ақпаратты әдейі ұстау және оқу.

 Мәліметтерді немесе желілерді әдейі бұзу.

 Дұрыс емес (алаяқтық мақсатында) сәйкестендіру

пайдаланушы.

 бағдарламалық және аппараттық қорғанысты бұзу.

 Бір желіден екіншісіне пайдаланушының рұқсатсыз кіруі.

 Вирустық шабуылдар.

 Қызмет көрсетуден бас тарту.

 Қаржылық алаяқтық.

Қайсы қауіп-қатер электронды коммерция компаниясын күтуде әр кезеңде :

 электрондық дүкен серверінің веб-парағын ауыстыру (сұраныстарды басқа серверге қайта бағыттау), клиент туралы, әсіресе оның несиелік карталары туралы ақпаратты үшінші тұлғаларға қолжетімді ету;

 электрондық дүкен қызметкерлері тарапынан жалған бұйрықтар мен түрлі алаяқтық нысандарын жасау, мысалы, мәліметтер базасын манипуляциялау (статистика компьютерлік оқиғалардың жартысынан көбі өз қызметкерлерінің қызметіне байланысты екенін көрсетеді);

 электрондық коммерция желілері арқылы берілетін деректерді ұстап алу;

 компанияның ішкі желісіне шабуылдаушылардың енуі және электрондық дүкеннің құрамдас бөліктерінің ымыралы болуы;

Танымал

Тақырып бойынша сабаққа арналған менің арманымдағы үй презентациясы

« 1. Пайда болған мәселе мен қажеттілікті негіздеу. Мен әрқашан өз үйім болуды армандадым. Бұл үшін мен оны қалай және неден салуға болатыны туралы ойлана бастадым.... »

Балапандардың диареясы неден пайда болады және оны қалай емдеу керек

« Кира Столетова Шаруа қожалығында жиі кездесетін жағдай, қарақұйрықтардың диареясы адамдардан ерекше назар аударуды талап етеді. Ақ диарея немесе қою түсті нәжіс... »

H&M, Pull&Bear, Bershka сияқты компанияларда жұмыс істеу қандай?

« Inditex тобына 8 бренд кіреді: Zara, Pull&Bear, Massimo Dutti, Bershka, Stradivarius, Oysho, Zara Home және Uterqüe. Бізде 6700-ден астам дүкен бар... »