Informacijos saugumas elektroninės prekybos sistemose. „Elektroninės komercijos saugumas. Pagrindinės informacijos apsaugos kryptys

Įvadas………………………………………………………………………..…3
1.Elektroninė prekyba ir jos raidos istorija……………………………………………………………
1.1. Elektroninės prekybos istorija……………………………………………………………………………………………………………………
2. Elektroninės prekybos saugumas…………………………………………..8
2.1. Rizika ir grėsmės………………………………………………………………… ...11
Išvada……………………………………………………………………….17
Literatūros sąrašas………………………………………………………………… 20

Įvadas

Pasaulinis internetas padarė elektroninę prekybą prieinamą bet kokio dydžio įmonėms. Jei anksčiau elektroninių duomenų mainų organizavimas reikalavo didelių investicijų į ryšių infrastruktūrą ir buvo įmanomas tik didelėms įmonėms, tai šiandien naudojimasis internetu leidžia mažoms įmonėms įsilieti į „elektroninių prekybininkų“ gretas. Elektroninė parduotuvė pasauliniame tinkle suteikia bet kuriai įmonei galimybę pritraukti klientų iš viso pasaulio. Toks internetinis verslas formuoja naują pardavimo kanalą – „virtualų“, kuriam beveik nereikia materialinių investicijų. Jei informaciją, paslaugas ar produktus (pavyzdžiui, programinę įrangą) galima pristatyti internetu, visas pardavimo procesas (įskaitant mokėjimą) gali vykti internetu.
Elektroninės prekybos apibrėžimas apima ne tik į internetą orientuotas sistemas, bet ir „elektronines parduotuves“, kurios naudoja kitas komunikacijos aplinkas – BBS, VAN ir kt. Tuo pačiu metu pardavimo procedūros, pradėtos remiantis informacija iš WWW, tačiau duomenų mainams naudojant faksą, telefoną ir pan., gali būti tik iš dalies priskiriamos elektroninei prekybai. Taip pat atkreipiame dėmesį, kad nepaisant to, kad WWW yra technologinis elektroninės prekybos pagrindas, nemažai sistemų naudoja ir kitas ryšio galimybes. Taigi prašymus pardavėjui patikslinti prekės parametrus ar pateikti užsakymą taip pat galima siųsti el.
Šiandien dominuojanti atsiskaitymo priemonė perkant internetu yra kredito kortelės. Tačiau į sceną žengia ir naujos mokėjimo priemonės: lustinės kortelės, skaitmeniniai grynieji pinigai, mikromokėjimai ir elektroniniai čekiai.
Elektroninė prekyba apima ne tik sandorius internetu. Ši koncepcija taip pat turi apimti tokias veiklas, kaip rinkodaros tyrimų atlikimas, galimybių ir partnerių nustatymas, santykių su tiekėjais ir vartotojais palaikymas, dokumentų srauto organizavimas ir kt. Taigi elektroninė prekyba yra sudėtinga sąvoka ir apima elektroninių mainų duomenis kaip vieną. komponentų.

Elektroninė prekyba ir jos raidos istorija

Elektroninė prekyba – tai ekonominės veiklos rūšis, kuria siekiama reklamuoti prekes ir paslaugas nuo gamintojų iki vartotojų elektroniniais kompiuterių tinklais. Kitaip tariant, elektroninė prekyba – tai prekių ir paslaugų rinkodara, įsigijimas ir pardavimas kompiuterių tinklais, daugiausia internetu. Elektroninė prekyba suteikia naujų galimybių apskritai pagerinti komercinės veiklos efektyvumą.
Skirtingai nuo tradicinės prekybos, elektroninė prekyba įmonėms suteikia šias galimybes:
A) Parduokite savo produktus internetu;
B) Plėtoti ir koordinuoti ryšius su vartotojais ir tiekėjais;
B) Keistis prekėmis ir paslaugomis elektroniniu būdu;
D) Sumažinti skaitmeninių produktų pristatymo ir klientų aptarnavimo po pardavimo kainą;
D) Greitai reaguoti į rinkos pokyčius;
E) Sumažinti pridėtines išlaidas;
G) Tobulinti klientų aptarnavimą ir pristatyti klientams savo paslaugas;
H) Išplėsti vartotojų ratą;
I) Atsižvelgti į individualius pirkėjo poreikius;
Elektroninė prekyba leidžia pirkėjams:
A) Pirkite prekes bet kuriuo metu ir bet kur;
B) Atlikti lyginamąją kainų analizę ir išsirinkti geriausią;
C) vienu metu gauti platų produktų asortimentą;
D) Pasirinkite patogius pirkimo mechanizmus;
D) Priklausomai nuo jūsų pageidavimų, gaukite informaciją ir naujienas.
1.1 Elektroninės prekybos istorija

Pirmosios elektroninės prekybos sistemos pasirodė septintajame dešimtmetyje JAV. Jie buvo naudojami transporto įmonėse keistis duomenimis tarp įvairių tarnybų ruošiant skrydžius ir užsakant bilietus.
Iš pradžių tokia prekyba buvo vykdoma naudojant tinklus už interneto ribų, naudojant specialius standartus elektroniniam duomenų mainams tarp organizacijų.
Iki septintojo dešimtmečio pabaigos JAV buvo keturi pramonės standartai, taikomi keitimuisi duomenimis tarp įvairių transporto įmonių. Siekiant sujungti šiuos standartus, 1968 m. buvo sukurtas specialus Transporto duomenų derinimo komitetas. darbo rezultatai sudarė naujo EDI standarto pagrindą.
Aštuntajame dešimtmetyje panašūs įvykiai įvyko Anglijoje. Šioje šalyje pagrindinė EDI taikymo sritis buvo ne transportas, o prekyba. Čia pasirinktą Tradacoms specifikacijų rinkinį Jungtinių Tautų Europos ekonomikos komisija priėmė kaip keitimosi duomenimis tarptautinėse prekybos organizacijose standartą.
Devintajame dešimtmetyje buvo pradėti derinti Europos ir Amerikos standartai. Dėl šio darbo 42-oji Tarptautinės prekybos palengvinimo darbo grupės sesija 1996 m. rugsėjo mėn. priėmė Rekomendaciją Nr. 25 „Jungtinių Tautų elektroninių duomenų mainų standarto naudojimas administracijoje, prekyboje ir transporte“.
Taigi. Dešimtojo dešimtmečio pradžioje atsirado EDI-FACT standartas, kurį priėmė ISO (ISO 9735).
Tačiau galutinis Amerikos ir Europos standartų susijungimas neįvyko. Atsirado nauja, perspektyvesnė elektroninių duomenų mainų galimybė – duomenų mainai internetu.
Interneto plėtra su mažomis duomenų perdavimo sąnaudomis privertė skubiai modernizuoti EDI sistemas. Dėl to dešimtojo dešimtmečio viduryje buvo sukurtas kitas standartas – EDIFACT over Internet (EDIINT), kuris aprašo, kaip perduoti EDI operaciją naudojant SMTP/S-MIME saugius el. pašto protokolus.
Elektroninės prekybos atsiradimui ir populiarumui augti yra keletas demografinių ir technologinių prielaidų, tokių kaip:
a) plačią prieigą prie informacinių technologijų, ypač kompiuterių ir interneto;
b) visuomenės išsilavinimo lygio didinimas ir dėl to laisvesnis tvarkymasis su technologijomis;
c) technologijų pažanga ir skaitmeninė revoliucija leido daugeliui skaitmeninių įrenginių sąveikauti tarpusavyje, pavyzdžiui, kompiuteriui, mobiliesiems telefonams ir kt.;
d) globalizacija, atvira ekonomika, konkurencija pasauliniu mastu;
e) elektroninės prekybos prieinamumą bet kam, bet kuriuo metu ir bet kurioje vietoje.
f) noras sutaupyti laiko;
g) prekių ir paslaugų asortimento augimas, didėjanti specialių prekių ir paslaugų paklausa.

Elektroninės prekybos saugumas.

Viena iš pagrindinių elektroninės prekybos problemų šiandien išlieka saugumo problema, t.y. rizikos mažinimas ir informacijos apsauga.
Priežastys, dėl kurių gali sutrikti normalus įmonės funkcionavimas internete, gali būti: kompiuteriniai virusai, apgaulė, sukelianti finansinių nuostolių; konfidencialios informacijos vagystė; neteisėtas kišimasis į bylas su konfidencialia informacija apie vartotojus ir kt.
Elektroninės įmonės interneto svetainės apsaugos laipsnis priklauso nuo jos informacijos konfidencialumo lygio ir poreikio ją atitikti. Taigi, pavyzdžiui, jei svetainėje įvedami kredito kortelių numeriai, tuomet būtina užtikrinti aukščiausią žiniatinklio serverio apsaugą.
Saugumo palaikymo elektroninėje prekyboje užduotys išeina į vartotojo autentifikavimą, informacijos konfidencialumo ir vientisumo palaikymą: autentifikavimas – vartotojo autentiškumo tikrinimas; konfidencialumas – vartotojo pateiktos privačios informacijos išsaugojimo užtikrinimas; informacijos vientisumas – perduodamoje informacijoje nėra iškraipymų.
Įsilaužėliai ir virusai gali kelti grėsmę žiniatinklio serverio informacijos vientisumui.
Įsilaužėlis įsiskverbia į silpnai apsaugotus kompiuterius ir serverius ir įdiegia specialias programas – nematomas, kurias gana sunku aptikti. Paprastai tokia nematoma programa nekenkia svetainei, tačiau sukuria dideles tinklo perkrovas. Įsilaužėlis nustato savo atakos tikslą ir suaktyvina iš anksto įdiegtą programą, siunčia komandą internetu keliems kompiuteriams. Taip prasideda ataka, kuri perkrauna komercinės įmonės tinklą.
Kitas rimtas kompiuterių ir serverių saugumo pažeidimas internete yra virusas. Virusai pažeidžia sistemos vientisumą ir klaidina informacijos saugumo priemones. Geriausia priemonė apsisaugoti nuo virusų – įdiegti ir periodiškai atnaujinti antivirusines programas, taip pat naudoti ugniasienes. Ugniasienė yra filtras, įdiegtas tarp įmonės tinklo ir interneto, siekiant apsaugoti informaciją ir failus nuo neteisėtos prieigos ir suteikti prieigą tik įgaliotiems asmenims. Taigi ugniasienė neleidžia kompiuteriniams virusams ir įsilaužėliams patekti į įmonės tinklą ir apsaugo jį nuo išorinės įtakos prisijungus prie interneto.
Diegiant elektroninę prekybą vienas iš svarbiausių klausimų yra informacijos konfidencialumas. Vartotojo įmonei pateikta informacija turi būti patikimai apsaugota. Vienas iš būdų užtikrinti saugų ir konfidencialų duomenų perdavimą kompiuterių tinklais yra kriptografija, t.y. šifruoti arba užkoduoti duomenis, kad juos galėtų perskaityti tik konkrečioje operacijoje dalyvaujančios šalys.
Šifruodamas pranešimo siuntėjas paverčia tekstą į simbolių rinkinį, kurio negalima perskaityti nenaudojant specialaus gavėjui žinomo rakto. Šifro raktas yra simbolių seka, saugoma kompiuterio standžiajame diske arba diskelyje. Informacijos saugumo laipsnis priklauso nuo šifravimo algoritmo ir rakto ilgio, matuojamo bitais.
Yra dviejų tipų šifravimo algoritmai:

simetriškas, kuriame tas pats raktas, žinomas abiem šalims, naudojamas tiek informacijos šifravimui, tiek iššifravimui;
asimetrinė, kurioje naudojami du raktai – vienas šifravimui, o kitas iššifravimui. Vienas iš šių raktų yra privatus (slaptas), antrasis yra atviras (viešas).

Vienas žinomiausių ir perspektyviausių pranešimų siuntėjo autentifikavimo būdų yra elektroninis skaitmeninis parašas (EDS) – elektroninis ranka rašyto parašo atitikmuo. Pirmąjį skaitmeninį parašą 1976 metais pasiūlė Whitfieldas Diffie iš Stanfordo universiteto. Rusijos Federacijos federaliniame įstatyme „Dėl elektroninio skaitmeninio parašo“ teigiama, kad elektroninis skaitmeninis parašas yra elektroninio dokumento, skirto apsaugoti šį dokumentą nuo klastojimo, būtina sąlyga, gauta kriptografiškai transformuojant informaciją naudojant privatų elektroninio parašo raktą. skaitmeninį parašą ir leidžiantį identifikuoti parašo rakto sertifikato savininką, taip pat nustatyti, ar elektroniniame dokumente nėra iškraipytos informacijos.
Elektroninio skaitmeninio parašo taikymo procesas yra toks:
1. siuntėjas sukuria pranešimą ir užšifruoja jį savo privačiu raktu, kuris kartu yra ir elektroninis siuntėjo elektroninis skaitmeninis parašas. Tokiu atveju šifruojamas ir pats komunikacijos tekstas, ir dokumento pabaigoje pridedamas skaitmeninis parašas.
2. siuntėjas šifruotą laišką ir savo viešąjį raktą perduoda ryšio kanalais gavėjui;
3. Gavėjas iššifruoja pranešimą naudodamas siuntėjo viešąjį raktą.
4. Kartu su skaitmeniniu parašu dažniausiai naudojama viena iš esamų maišos funkcijų. Apdorojant pranešimą funkcija HASH sukuria simbolių eilutę, vadinamą pranešimo santrauka. Siuntėjas sukuria pranešimo santrauką, ją užšifruoja ir taip pat persiunčia gavėjui. Gavėjas apdoroja pranešimą naudodamas tą pačią HASH funkciją ir taip pat gauna pranešimo santrauką. Jei abi pranešimų santraukos sutampa, tada pranešimas buvo gautas be sugadinimo.
5. Skaitmeniniai sertifikatai naudojami viešo rakto nuosavybės teisei patvirtinti konkrečiam asmeniui ar komercinei įmonei. Skaitmeninis sertifikatas – tai sertifikavimo institucijos išduotas dokumentas, patvirtinantis konkretaus asmens ar įmonės tapatybę, patvirtinant jos pavadinimą ir viešąjį raktą. Norėdami gauti skaitmeninį sertifikatą, turite susisiekti su sertifikavimo centru ir pateikti reikiamą informaciją. Kiekviena sertifikatų institucija nustato savo kainas ir, kaip taisyklė, metams išduoda skaitmeninį sertifikatą su galimybe jį pratęsti sumokėjus už kitus metus.
Saugumo problemoms spręsti elektroninės prekybos įmonės naudoja SSL ir SET technologijas.
SSL protokolas yra pagrindinis protokolas, naudojamas duomenims, perduodamiems internetu, apsaugoti. Šis protokolas pagrįstas asimetrinio ir simetrinio šifravimo algoritmų deriniu. Jis teikia tris pagrindines funkcijas: serverio autentifikavimą, kliento autentifikavimą ir SSL šifruotą ryšį.
SET protokolas yra protokolas, naudojamas operacijoms tarp komercinių bankų ir kredito kortelių klientų.

Rizika ir grėsmės

Bet koks verslas yra susijęs su rizika, kylančia dėl konkurencijos, vagysčių, visuomenės pageidavimų nestabilumo, stichinių nelaimių ir kt. Tačiau su elektronine prekyba susijusi rizika turi savo ypatybes ir turi savo šaltinius, įskaitant:
Įsilaužėliai.
Nesugebėjimas pritraukti kompanionų.
Įrangos gedimai.
Maitinimo, ryšio linijų arba tinklo gedimai.
Priklausomybė nuo pristatymo paslaugų.
Intensyvi konkurencija.
Programinės įrangos klaidos.
Politikos ir mokesčių pokyčiai.
Ribotas sistemos pajėgumas.

Įsilaužėliai
Populiariausia grėsmė elektroninei prekybai kyla iš kompiuterių įsilaužėlių. Bet kuriai įmonei gresia nusikaltėlių puolimas, o didelės elektroninės prekybos įmonės patraukia įvairaus lygio kompiuterių įsilaužėlių dėmesį.
Šio dėmesio priežastys yra įvairios. Kai kuriais atvejais tai tiesiog „grynas sportinis interesas“, kitais – noras pakenkti, pavogti pinigus arba nemokamai įsigyti prekę ar paslaugą.
Svetainės saugumas užtikrinamas šių priemonių deriniu:
Kurkite atsarginę svarbios informacijos atsarginę kopiją.
Personalo politika, leidžianti pritraukti į darbą tik sąžiningus žmones ir skatinti darbuotojų sąžiningumą. Pavojingiausi įsilaužimo bandymai kyla iš įmonės vidaus.
Programinės įrangos su duomenų apsaugos galimybėmis naudojimas ir savalaikis jos atnaujinimas.
Apmokyti personalą nustatyti tikslus ir atpažinti sistemos trūkumus.
Auditas ir registravimas siekiant aptikti sėkmingus ir nesėkmingus įsilaužimo bandymus.
Paprastai įsilaužimas būna sėkmingas dėl lengvai atspėjamų slaptažodžių, dažnų konfigūravimo klaidų ir nesugebėjimo laiku atnaujinti programinės įrangos versijų. Norint apsisaugoti nuo ne itin įmantraus įsilaužėlio, pakanka imtis gana paprastų priemonių. Kraštutiniu atveju visada turėtų būti atsarginė svarbių duomenų kopija.

Nesugebėjimas pritraukti kompanionų
Nors didžiausią susirūpinimą kelia įsilaužėlių atakos, dauguma elektroninės prekybos nesėkmių vis dar kyla dėl tradicinių ekonominių veiksnių. Didelės elektroninės prekybos svetainės sukūrimas ir pardavimas reikalauja daug pinigų. Įmonės teikia pirmenybę trumpalaikėms investicijoms, siūlydamos greitą klientų ir pajamų augimą, kai prekės ženklas įsitvirtins rinkoje.
E-komercijos žlugimas privedė prie daugelio įmonių, kurios specializavosi tik joje, žlugimo.

Įrangos gedimai
Visiškai akivaizdu, kad įmonės, kurios veikla orientuota į internetą, vieno iš kompiuterių svarbios dalies gedimas gali padaryti jam didelę žalą.
Apsauga nuo prastovų aikštelėms, kurios veikia esant didelei apkrovai ar atlieka svarbias funkcijas, užtikrinama dubliavimu, todėl kurio nors komponento gedimas neturi įtakos visos sistemos funkcionalumui. Tačiau ir čia reikia įvertinti nuostolius dėl galimų prastovų, palyginti su papildomos įrangos įsigijimo išlaidomis.
Daugelį kompiuterių, kuriuose veikia „Apache“, PHP ir MySQL, nustatyti gana lengva. Be to, MySQL replikacijos variklis leidžia bendrai sinchronizuoti informaciją visose duomenų bazėse. Tačiau didelis kompiuterių skaičius taip pat reiškia dideles išlaidas įrangai, tinklo infrastruktūrai ir prieglobai.
Maitinimo, ryšio linijų, tinklo ir pristatymo paslaugų gedimai
Priklausomybė nuo interneto reiškia priklausomybę nuo daugelio tarpusavyje susijusių paslaugų teikėjų, todėl staiga nutrūkus ryšiui su likusiu pasauliu, nieko nereikia daryti, tik laukti, kol jis bus atkurtas. Tas pats pasakytina apie elektros energijos tiekimo nutraukimus ir streikus arba kitus elektros tiekimo nutraukimus ir streikus ar kitus pristatymo įmonės sutrikimus.
Jei turite pakankamai biudžeto, galite susisiekti su keliais paslaugų teikėjais. Tai pareikalauja papildomų išlaidų, tačiau užtikrina nepertraukiamą veikimą vienam iš jų sugedus. Nuo ekstremalių elektros energijos tiekimo sutrikimų galima apsisaugoti įrengus nepertraukiamo maitinimo šaltinius.

Intensyvi konkurencija
Jei atidarote kioską gatvėje, įvertinti konkurencinę aplinką nėra ypač sunku – konkurentai bus visi, kurie parduoda tą pačią prekę per akis. Elektroninės prekybos atveju situacija yra šiek tiek sudėtingesnė.
Priklausomai nuo siuntimo išlaidų, valiutų svyravimų ir darbo sąnaudų skirtumų, konkurentai gali būti bet kur. Internetas yra labai konkurencinga ir sparčiai besivystanti aplinka. Populiariuose verslo sektoriuose beveik kasdien atsiranda naujų konkurentų.
Sunku įvertinti konkurencijos riziką. Čia teisingiausia strategija yra palaikyti dabartinį technologijų lygį.

Programinės įrangos klaidos
Kai verslas priklauso nuo programinės įrangos, jis yra pažeidžiamas tos programinės įrangos klaidų.

Kritinių gedimų tikimybę galima sumažinti įdiegus patikimą programinę įrangą, testuojant kiekvieną kartą pakeitus sugedusią aparatinę įrangą ir taikant oficialias testavimo procedūras. Labai svarbu visas sistemos naujoves palydėti nuodugniais testais.
Norėdami sumažinti žalą, kurią sukelia programinės įrangos gedimai, turėtumėte nedelsdami sukurti visų duomenų atsargines kopijas. Atlikdami bet kokius pakeitimus, turite išsaugoti ankstesnes programos konfigūracijas. Norint greitai aptikti galimus gedimus, būtina nuolat stebėti sistemą.

Mokesčių politikos pokyčiai
Daugelyje šalių elektroninio verslo veikla nėra apibrėžta arba nepakankamai apibrėžta įstatymuose. Tačiau tokia padėtis negali tęstis amžinai, o problemos sprendimas sukels daugybę problemų, dėl kurių kai kurios įmonės gali būti uždarytos. Be to, visada yra didesnių mokesčių pavojus.
Šių problemų negalima išvengti. Esant tokiai situacijai, vienintelis protingas veiksmas būtų atidžiai stebėti situaciją ir suderinti įmonės veiklą pagal įstatymus. Taip pat reikėtų išnagrinėti galimybę daryti lobizmą savo interesams.

Ribotas sistemos pajėgumas
Sistemos projektavimo etape tikrai turėtumėte apsvarstyti jos augimo galimybę. Sėkmė neatsiejamai susijusi su apkrovomis, todėl sistema turi leisti plėsti įrangą.
Ribotą našumo padidėjimą galima pasiekti pakeitus techninę įrangą, tačiau net ir pažangiausio kompiuterio greitis turi ribą, todėl programinė įranga turi suteikti galimybę paskirstyti apkrovą kelioms sistemoms, kai pasiekiama nurodyta riba. Pavyzdžiui, duomenų bazių valdymo sistema turi turėti galimybę vienu metu apdoroti užklausas iš kelių mašinų.
Sistemos išplėtimas nėra neskausmingas, tačiau savalaikis planavimas kūrimo etape leidžia numatyti daugybę problemų, susijusių su klientų skaičiaus padidėjimu, ir iš anksto joms užkirsti kelią.

Išvada
Nors prisijungimas prie interneto suteikia didžiulę naudą dėl prieigos prie didžiulio informacijos kiekio, tai taip pat pavojinga žemo saugumo lygio svetainėms. Internetas kenčia nuo rimtų saugumo problemų, kurių nepaisoma gali sukelti nelaimę nepasiruošusioms svetainėms. TCP/IP projektavimo klaidos, kompiuterio administravimo sudėtingumas, programų pažeidžiamumas ir daugybė kitų veiksnių kartu daro neapsaugotas svetaines pažeidžiamas užpuolikų veiksmų.
Organizacijos turi atsakyti į šiuos klausimus, kad tinkamai įvertintų interneto ryšio saugumo pasekmes:
Ar įsilaužėliai gali sunaikinti vidines sistemas?
Ar, perduodant internetu, svarbi organizacijos informacija gali būti pažeista (pakeisti ar nuskaityta)?
Ar galima kištis į organizacijos darbą?
Tai visi svarbūs klausimai. Yra daug techninių sprendimų, kaip įveikti pagrindines interneto saugumo problemas. Tačiau jie visi turi savo kainą. Daugelis sprendimų riboja funkcionalumą, kad padidintų saugumą. Kiti reikalauja didelių kompromisų dėl naudojimosi internetu paprastumo. Dar kiti reikalauja didelių resursų investicijų – darbo laiko saugumui įgyvendinti ir palaikyti bei pinigų įrangai ir programoms įsigyti ir prižiūrėti.
Interneto saugumo politikos tikslas – nuspręsti, kaip organizacija apsisaugos. Politika paprastai susideda iš dviejų dalių – bendrųjų principų ir specialių veiklos taisyklių (kurios yra lygiavertės toliau aprašytai konkrečiai politikai). Bendrieji principai vadovaujasi požiūriu į interneto saugumą. Taisyklės nustato, kas leidžiama ir kas draudžiama. Taisyklės gali būti papildytos konkrečiomis procedūromis ir įvairiomis gairėmis.
Tiesa, interneto saugumo literatūroje yra ir trečio tipo politikos. Tai techninis požiūris. Šiame leidinyje techninis požiūris bus suprantamas kaip analizė, padedanti įgyvendinti politikos principus ir taisykles. Paprastai tai per daug techninė ir sudėtinga, kad organizacijos valdymas nesuprastų. Todėl jis negali būti naudojamas taip plačiai, kaip politika. Tačiau jis yra būtinas aprašant galimus sprendimus, nustatant kompromisus, kurie yra būtinas politikos aprašo elementas.
Kad interneto politika būtų veiksminga, politikos formuotojai turi suprasti, kokius kompromisus jie turės padaryti. Ši politika taip pat neturėtų prieštarauti kitiems organizacijos dokumentams. Šiuo leidiniu bandoma suteikti techniniams specialistams informacijos, kurią jie turės paaiškinti interneto politikos formuotojams. Jame pateikiamas preliminarus politikos planas, kuriuo remiantis galima priimti konkrečius techninius sprendimus.
Internetas yra svarbus šaltinis, pakeitęs daugelio žmonių ir organizacijų veiklą. Tačiau internetas kenčia nuo rimtų ir plačiai paplitusių saugumo problemų. Daugelį organizacijų užpuolė arba tyrė užpuolikai, todėl jos patyrė didelių finansinių nuostolių ir prarado savo prestižą. Kai kuriais atvejais organizacijos buvo priverstos laikinai atsijungti nuo interneto ir išleisti dideles pinigų sumas šalindamos pagrindinio kompiuterio ir tinklo konfigūracijos problemas. Svetainėms, kurios nežino apie šias problemas arba jos jų nepaiso, gresia piktybinių veikėjų internetinė ataka. Net ir toms svetainėms, kuriose buvo įdiegtos saugumo priemonės, kyla tie patys pavojai dėl naujų tinklo programų spragų atsiradimo ir kai kurių užpuolikų atkaklumo.
Pagrindinė problema yra ta, kad internetas nebuvo sukurtas kaip saugus tinklas. Kai kurios problemos dabartinėje TCP/IP versijoje yra šios:
Duomenų perėmimo ir tinkle esančių mašinų adresų klastojimo paprastumas – didžiąją interneto srauto dalį sudaro nešifruoti duomenys. El. laiškus, slaptažodžius ir failus galima perimti naudojant lengvai pasiekiamas programas.
TCP/IP įrankių pažeidžiamumas – kai kurie TCP/IP įrankiai nebuvo sukurti taip, kad būtų saugūs ir gali būti pažeisti kvalifikuotų užpuolikų; testavimui naudojamos priemonės yra ypač pažeidžiamos.
Trūksta politikos – daugelis svetainių yra nesąmoningai sukonfigūruotos taip, kad suteiktų plačią prieigą prie savęs iš interneto, neatsižvelgiant į galimybę piktnaudžiauti šia prieiga; Daugelis svetainių suteikia daugiau TCP/IP paslaugų, nei reikia, kad jos veiktų, ir nemėgina apriboti prieigos prie informacijos apie savo kompiuterius, kuri galėtų padėti užpuolikams.
Sunku konfigūruoti – prieglobos prieigos valdikliai yra sudėtingi; Dažnai sunku teisingai sukonfigūruoti ir patikrinti įrenginių efektyvumą. Per klaidą neteisingai sukonfigūruoti įrankiai gali sukelti neteisėtą prieigą.

Naudotos literatūros sąrašas
1. Medžiaga iš informacinių technologijų serverio - http://www. citforum.ru
2. Kas yra elektroninė prekyba? V. Zavalejevas, Informacinių technologijų centras. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovičius A.A., Tsarevas V.V. Vadovėliai universitetams: Elektroninė komercija 2002, 320 psl.

| Į publikacijų sąrašą

Prekybos įmonių, mažmeninės prekybos tinklų ir jų infrastruktūros informacinio saugumo užtikrinimas

Dabartinės Rusijos prekybos plėtros tendencijos skatina įmonių konsolidaciją didinant įmonių skaičių jų sudėtyje, konsoliduojant įvairių operatorių turtą, vykdant susijungimus ir įsigijimus, kuriant tinklo paskirstymo centrus. Dėl to auga reikalavimai informacinėms technologijoms ir jų svarba organizuojant prekybą. Informacijos srautų apdorojimas bet kurioje įmonėje reikalauja didelio greičio ir absoliutaus tikslumo.

1 pav. Pagrindiniai informacijos srautai, cirkuliuojantys tinklo įmonės valdymo sistemoje

Valdant modernią parduotuvę, didmeninės prekybos įmonę ir platinimo tinklą, naudojamos automatizuotos integruotos prekybos, sandėlio ir apskaitos sistemos. Šiandien vadovai valdymo sprendimus priima remdamiesi duomenimis, gautais iš informacinių sistemų. Taigi, kad ir kokia būtų įmonės struktūra, sutarčių, atsargų judėjimų, grynųjų pinigų ir apskaita turi būti vykdoma vienoje informacinėje erdvėje.

Siekiant automatizuoti prekybos proceso valdymą, įmonėje sukuriama informacinė sistema, kuri gali apimti:

- vidinė apskaitos ir atskaitomybės sistema (turi duomenys apie prekių gamybos ir apyvartos apimtį, struktūrą ir greitį, įmonės sąnaudas ir nuostolius, bendrąsias pajamas, grynąjį pelną, pelningumą ir kt.);
- rinkodaros informacinė sistema (leidžia sekti esamą būklę, tendencijas ir rinkos plėtros perspektyvas). Šią informacinę sistemą taip pat galima apibrėžti kaip žvalgybos sistemą, nes ji užtikrina duomenų apie konkurentų veiklą rinkimą, apdorojimą ir analizę.

Duomenys į informacinę sistemą patenka iš įmonės darbuotojų ir platintojų biurų sistemų. Ateityje jie naudojami operatyviniam įmonės valdymui, visos įmonės, regioninių biurų ir platintojų veiklos kontrolei ir analizei. Informacinio tinklo duomenų vartotojai yra įmonės ir platintojų įmonių vadovai ir vadovai. 1 ir 2 paveiksluose pavaizduoti pagrindiniai informacijos srautai, cirkuliuojantys prekybos įmonės valdymo sistemoje (prekybos tinkle), nurodant pagrindinius jų šaltinius ir vartotojus.

Priimdami strateginius valdymo sprendimus, įmonės vadovas, finansų direktorius, vyriausiasis buhalteris ir vyresnieji vadovai turi pateikti išsamų įmonės būklės ir plėtros tendencijų vaizdą (1 pav.).

Darbo vietose buhalterijoje, pardavimų salėje, sandėlyje darbuotojai tvarko tik atskirus bendro informacijos srauto fragmentus. Jų užduotys ir funkcijos, kaip taisyklė, apima prekių gavimo ir suvartojimo apdorojimą ir registravimą, sąskaitų faktūrų išrašymą, darbą su kasos aparatu ir kt. (2 pav.).

Atsižvelgiant į prekybos įmonių rizikas ir informacinių sistemų pažeidžiamumą, atrodo neatsakinga laikytis tokio požiūrio, kai įmonė reaguoja į įvykius po fakto, t.y. jiems įvykus. Iš to išplaukia, kad įmonė turi sukurti informacijos apsaugos sistemą. Tai vienas iš pagrindinių valdymo sistemos elementų.

Informacinės sistemos veikimo sustabdymas verslui gali sukelti negrįžtamų pasekmių. Taigi, draudimo bendrovės „Gerling“ teigimu, visiškai sustabdžius informacinę sistemą, prekybos įmonės gali egzistuoti tik 2,5 dienos, o gamybos įmonėms be nepertraukiamo gamybos ciklo šis skaičius yra 5 dienos.

Pradiniai duomenys kuriant efektyvią informacijos saugumo sistemą turėtų būti aiškios idėjos apie jos tikslus ir struktūrą, grėsmių tipus ir jų šaltinius bei galimas atsakomąsias priemones.

Grėsmių šaltiniai gali būti išoriniai ir vidiniai.

2 pav. Duomenų apsikeitimo sistema mažmeninės prekybos įmonės ar prekybos tinklo įvairių padalinių darbuotojams

Išorinės grėsmės dažniausiai ateina iš konkurentų, nusikalstamų grupuočių ir korumpuotų pareigūnų teisinėse ir administracinėse institucijose. Išorinių grėsmių veiksmai gali būti nukreipti į pasyvias laikmenas, informacijos pašalinimą mainų proceso metu, informacijos sunaikinimą ar jos laikmenų sugadinimą. Grasinimai gali būti nukreipti į įmonės darbuotojus ir išreikšti kyšininkavimu, grasinimais, šantažu, informacijos išieškojimu, siekiant gauti komercinę paslaptį sudarančios informacijos, arba vadovaujančių specialistų viliojimu ir pan.

Viešai neatskleista grėsmė kelia didžiausią pavojų. Jie gali kilti iš nekompetentingų vadovų, nesąžiningų ir nekvalifikuotų darbuotojų, grobstikų ir sukčių bei pasenusių gamybos priemonių. Pavieniai darbuotojai, turintys aukštą savigarbą, dėl nepasitenkinimo savo ambicijomis (atlyginimo lygiu, santykiais su vadovybe, kolegomis ir kt.), gali aktyviai teikti komercinę informaciją konkurentams, bandyti sunaikinti svarbią informaciją ar pasyvias žiniasklaidos priemones, Pavyzdžiui, pristatyti kompiuterinį virusą.

Informacinių išteklių žalą gali sukelti:

neteisėtos prieigos ir konfidencialios informacijos pašalinimo įgyvendinimas;
darbuotojų papirkimas siekiant gauti prieigą prie konfidencialios informacijos ar informacinės sistemos;
perimant ryšių ir kompiuterių įrenginiuose bei sistemose cirkuliuojančią informaciją, naudojant technines žvalgybos ir informacijos rinkimo priemones;
pasiklausant konfidencialių pokalbių, vykstančių tarnybinėse patalpose, tarnybinėse ir asmeninėse transporto priemonėse, butuose ir vasarnamiuose;
per derybų procesus, neatsargiai elgiantis su informacija;

Pagrindiniai informacijos šaltiniai yra:žmonių, dokumentų, leidinių, techninių laikmenų, techninių priemonių, gaminių ir atliekų.

Pagrindiniai būdai gauti neteisėtą informaciją yra šie:

- konfidencialios informacijos atskleidimas;
- neteisėta prieiga prie informacijos išteklių;
- konfidencialios informacijos nutekinimas dėl įmonės darbuotojų kaltės.

Informacijos saugumo užtikrinimo priemonių taikymo problemos aktualumą galima iliustruoti šiais pavyzdžiais:

1. Federalinio operatoriaus saugos tarnyba kas mėnesį nustato nuo dviejų iki šešių incidentų, susijusių su informacijos saugumo pažeidimais.
2. Hipermarkete jauna mergina buvo „apšviesta“ kasos terminalų susiejimo vietiniame tinkle programos trūkumais. Dėl sukčiavimo ponia per tris mėnesius „uždirbo“ 900 000 rublių.
3. Jauna kasininkė pakeitė grynųjų pinigų programą ir per mėnesį padarė įmonei apie 200 000 rublių žalos. Sistemos administratorius neteisėtos prieigos faktą nustatė tik tyrimo metu praėjus dviem mėnesiams po kasininkės atleidimo.

Taigi verslo lyderiai turi suprasti informacijos saugumo svarbą ir išmokti numatyti bei valdyti ateities tendencijas. Efektyvus apsaugos sistemų veikimas turėtų būti pagrindinis visos įmonės prioritetas.

Pagrindinės informacijos apsaugos kryptys:

- teisinė apsauga apima: Rusijos Federacijos teisės aktus, savo norminius dokumentus, įskaitant: konfidencialios informacijos saugojimo taisykles, informacijos, sudarančios komercinę paslaptį, sąrašą, instrukcijas dėl darbuotojų prieigos prie konfidencialios informacijos tvarkos, biuro darbo reglamentus. ir dokumentų srautas, darbuotojo pareiga neatskleisti konfidencialios informacijos, priminimas darbuotojui apie komercinių paslapčių saugojimą ir kt.;
- organizacinė apsauga apima režimines-administracines ir organizacines priemones. Tai apima: saugos tarnybos organizavimą, patalpų viduje ir prieigos kontrolės organizavimą, darbo su darbuotojais dėl informacijos, sudarančios komercines ir tarnybines paslaptis, organizavimą, darbo su dokumentais organizavimą, darbo organizavimą išorės ir vidinės grėsmės ir kt.
- inžinerinė ir techninė apsauga – apima įvairių techninių, elektroninių ir programinės įrangos, skirtų informacijai apsaugoti, naudojimą.

Informacijos saugumo programos įgyvendinimas turėtų būti vykdomas remiantis integruotu saugumo sistemų ir priemonių naudojimu, remiantis prielaida, kad neįmanoma užtikrinti reikiamo saugumo lygio naudojant tik vieną atskirą įrankį ar priemonę arba paprastą derinį. jų. Būtinas sisteminis jų koordinavimas. Tokiu atveju bet kokios grėsmės įgyvendinimas gali paveikti saugomą objektą tik tada, kai įveikiami visi apsaugos lygiai.

Bet kurios elektroninės prekybos sistemos saugumas slypi apsauga nuo įvairių tipų trukdžių jos duomenims. Visos šios intervencijos gali būti suskirstytos į kelias kategorijas:

· duomenų vagystė (pvz., kredito kortelių numerių vagystė iš duomenų bazės);

· trukdžių (pvz., duomenų perteklius svetainėje, kuri nėra skirta tokiam dideliam informacijos kiekiui);

· duomenų iškraipymas (pavyzdžiui, sumų keitimas mokėjimų ir sąskaitų faktūrų failuose arba neegzistuojančių sertifikatų ar svetainių kūrimas informacijai, keliaujančiai į konkrečią svetainę), kūrimas;

· duomenų sunaikinimas (pavyzdžiui, perduodant iš svetainės arba į svetainę iš vartotojo);

· atsisakymas atlikti veiksmus (pvz., dėl užsakymo pateikimo ar prekių gavimo fakto);

· bona fide naudotojas netyčia piktnaudžiauja aikštelės įrenginiais;

· neteisėta prieiga prie informacijos:

· neleistinas duomenų kopijavimas, atnaujinimas ar kitoks naudojimas;

· neteisėtos operacijos;

· neleistinas duomenų peržiūrėjimas ar perdavimas (pavyzdžiui, tikrų lankytojų vardų rodymas vietoje slapyvardžių pokalbyje ar forume).

Tuo pačiu metu negalima neatsižvelgti į tai, kad saugumo klausimais šioje srityje yra nemažai objektyvių teisinio pobūdžio problemų – technologijos vystosi daug greičiau nei įstatyminė bazė, sunku sugauti užpuoliką. nusikaltimo veika, o įkalčiai ir nusikaltimų pėdsakai gali būti lengvai sunaikinti be pėdsakų. Dėl viso to įmonėms būtina kruopščiai parengti savo elektroninio verslo apsaugos politiką. Visiškas ir absoliutus saugumas nepasiekiamas, nes elektroninio verslo sistemos yra sukurtos remiantis įvairiomis jau paruoštomis ir pritaikytomis įvairių tiekėjų programinėmis programomis bei daugybe išorinių paslaugų, kurias teikia paslaugų teikėjai ar verslo partneriai. Nemaža dalis šių komponentų ir paslaugų užsakovo įmonės IT specialistams dažniausiai yra neskaidrūs, be to, daugelis jų dažnai yra modifikuojami ir tobulinami jų kūrėjų. Visų šių nuodugniai patikrinti, ar nėra galimų saugumo defektų, neįmanoma, o pašalinti visus šiuos defektus yra dar sunkiau. Ir net jei tai būtų įmanoma, negalima atmesti vadinamojo žmogiškojo faktoriaus, nes visas sistemas kuria, keičia ir valdo žmonės, o Kompiuterių saugos instituto tyrimų duomenimis, 81 proc. yra vidinė grėsmė – tyčiniai ar netyčiniai savo darbuotojų veiksmai.

Apsaugos nuo vidinių grėsmių problemos aspektai yra du: techninis ir organizacinis. Techninis aspektas yra noras pašalinti bet kokią neteisėtos prieigos prie informacijos galimybę. Šiuo tikslu naudojamos tokios gerai žinomos priemonės kaip:

slaptažodžių priežiūra ir reguliarus keitimas; minimalių teisių, reikalingų sistemai administruoti, suteikimas;

Standartinių procedūrų, skirtų laiku pakeisti prieigos grupę keičiantis personalui arba nedelsiant naikinti prieigas atleidus darbuotoją, procedūrų prieinamumas.

Organizacinis aspektas yra sukurti racionalią vidaus saugumo politiką, kuri virstų įprastomis operacijomis, tokiais retai naudojamais įmonių įsilaužėlių atakų apsaugos ir prevencijos metodais:

· bendros saugos kultūros įvedimas įmonėje;

· programinės įrangos testavimas įsilaužimui;

· sekti kiekvieną įsilaužimo bandymą (kad ir koks jis būtų sėkmingas) ir nuodugniai jį ištirti;

· kasmetiniai darbuotojų mokymai saugumo ir elektroninių nusikaltimų klausimais, įskaitant informaciją apie konkrečius įsilaužėlių atakų požymius, siekiant kuo labiau padidinti darbuotojų, galinčių aptikti tokią veiklą, skaičių;

· aiškių netyčinio informacijos pakeitimo ar sunaikinimo atvejų tvarkymo procedūrų įvedimas.

Siekiant apsisaugoti nuo išorinio įsibrovimo, šiandien yra daug sistemų, kurios iš esmės yra skirtingų tipų filtrai, kurie padeda nustatyti įsilaužimo bandymus ankstyvosiose stadijose ir, jei įmanoma, neleidžia užpuolikui patekti į sistemą per išorinius tinklus.

· maršrutizatoriai – tinklo srauto valdymo įrenginiai, esantys tarp antros eilės tinklų ir valdantys prie jo prijungtų tinklo segmentų įeinantį ir išeinantį srautą;

· ugniasienės – privačių tinklų izoliavimo nuo viešųjų tinklų priemonės naudojant programinę įrangą, kuri stebi ir slopina išorines atakas svetainėje, naudojant tam tikrą užklausų tipų valdymą;

taikomųjų programų šliuzai yra priemonės, kuriomis tinklo administratorius įgyvendina saugos politiką, kuri vadovauja maršrutizatoriams, atliekantiems paketų filtravimą;

· Įsibrovimų aptikimo sistemos (IDS) – sistemos, aptinkančios tyčinius išpuolius ir netyčinį vartotojų piktnaudžiavimą sistemos resursais;

· saugumo vertinimo įrankiai (specialūs skaitytuvai ir kt.) – programos, kurios reguliariai nuskaito tinklą dėl problemų ir tikrina įgyvendinamos saugumo politikos efektyvumą.

Apskritai, pirmas dalykas, kurį įmonė turėtų padaryti, yra išsiaiškinti, ką ir nuo ko reikia saugoti. Pagrindiniai žaidėjai šioje srityje yra įmonės akcininkai, vartotojai, darbuotojai ir verslo partneriai, ir kiekvienam iš jų būtina sukurti savo apsaugos schemą. Visi saugos reikalavimai turi būti dokumentuojami, kad būtų naudojami kaip gairės diegiant elektroninės prekybos programas ir jų saugos priemones įvairiose įmonės verslo srityse. Be to, tai leis sukurti atskirą biudžetą saugos problemų aptarnavimui įmonėje ir optimizuoti išlaidas šiems poreikiams, išvengiant bet kokių saugumo problemų dubliavimo kuriant kiekvieną atskirą verslo projektą.

Deja, šiandieninė praktika tokia, kad saugumo politika paliekama IT skyriaus vadovybei, kurios darbuotojai mano, kad technologiniai klausimai yra svarbesni už kažkokias „popierines“ instrukcijas, be to, nėra tam tikrų verslo sričių specialistai. kurioms taip pat reikalingos aiškios apsaugos procedūros įmonėje.

Be to, susiejant skirtingą programinę įrangą, gali kilti specifinių problemų, kurios nėra žinomos kiekvieno integruoto produkto gamintojams. Tokios sąveikos tyrimai turėtų būti atliekami prieš priimant bet kokius technologinius ir biudžeto sprendimus. Ir iki šiol tam buvo skiriama per mažai dėmesio.

Yra keletas elektroninės prekybos grėsmių tipų:

Įsiskverbimas į sistemą iš išorės.

Neteisėta prieiga įmonės viduje.

Sąmoningas informacijos perėmimas ir skaitymas.

Tyčinis duomenų ar tinklų sutrikdymas.

Neteisinga (dėl sukčiavimo) vartotojo identifikavimo.

Apsauga nuo įsilaužimo aparatinės ir programinės įrangos.

Neteisėta vartotojo prieiga iš vieno tinklo į kitą.

Virusų atakos.

Paslaugų atsisakymas.

Finansinis sukčiavimas.

Siekiant kovoti su šiomis grėsmėmis, naudojama daugybė metodų, pagrįstų įvairiomis technologijomis, būtent: šifravimas – duomenų kodavimas, neleidžiantis jų nuskaityti ar iškraipyti; skaitmeniniai parašai, patvirtinantys siuntėjo ir gavėjo tapatybę; slaptos technologijos, naudojant elektroninius raktus; ugniasienės; virtualūs ir privatūs tinklai.

Joks apsaugos būdas nėra universalus, pavyzdžiui, ugniasienės netikrina virusų ir negali užtikrinti duomenų vientisumo. Nėra visiškai patikimo būdo, kaip kovoti su automatinės apsaugos įsilaužimu, ir tik laiko klausimas, kada bus įsilaužta. Tačiau laikas, kurio reikia norint sulaužyti tokią apsaugą, savo ruožtu priklauso nuo jos kokybės. Reikia pasakyti, kad programinė ir techninė įranga, apsauganti ryšius ir programas internete, buvo kuriama ilgą laiką, nors naujos technologijos diegiamos kiek netolygiai.

Kokios grėsmės laukia įmonės, vykdančios elektroninę prekybą kiekviename etape:

Elektroninės parduotuvės serverio tinklalapio pakeitimas (užklausų peradresavimas į kitą serverį), informacijos apie klientą, ypač apie jo kreditines korteles, pateikimas trečiosioms šalims;

Netikrų užsakymų kūrimas ir įvairių formų sukčiavimas iš elektroninės parduotuvės darbuotojų pusės, pavyzdžiui, manipuliavimas duomenų bazėmis (statistika rodo, kad daugiau nei pusė kompiuterinių incidentų yra susiję su jų pačių darbuotojų veikla);

Duomenų, perduodamų elektroninės prekybos tinklais, perėmimas;

Užpuolikų įsiskverbimas į įmonės vidinį tinklą ir elektroninių parduotuvių komponentų kompromitavimas;

Paslaugų atsisakymo atakų įgyvendinimas ir elektroninės prekybos mazgo veikimo sutrikimas arba išjungimas.

Įgyvendinus tokias grėsmes, įmonė praranda klientų pasitikėjimą, netenka pinigų iš galimų ir/ar netobulų sandorių, sutrinka elektroninės parduotuvės veikla, skiria laiko, pinigų ir žmogiškųjų išteklių funkcionavimo atstatymui.

Žinoma, su internetu perduodamos informacijos perėmimu susijusios grėsmės neapsiriboja elektroninės prekybos sektoriumi. Kalbant apie pastarąjį, ypač svarbu tai, kad jos sistemose yra didelės ekonominės svarbos informacija: kredito kortelių numeriai, sąskaitų numeriai, sutarčių turinys ir kt.

1. Elektroninės prekybos apsauga

Saugumo užtikrinimas yra ne tik būtina sėkmingo elektroninio verslo sąlyga, bet ir pasitikėjimo santykių tarp sandorio šalių pagrindas. Pati elektroninio verslo esmė – aktyvūs informacijos mainai ir sandoriai per neapsaugotą viešąjį tinklą, o tai tiesiog neįmanoma be pasitikėjimo santykių tarp verslo subjektų. Todėl saugumo užtikrinimas yra sudėtingas, apimantis tokias užduotis kaip prieiga prie žiniatinklio serverių ir žiniatinklio programų, vartotojų autentifikavimas ir autorizavimas, duomenų vientisumo ir konfidencialumo užtikrinimas, elektroninių skaitmeninių parašų diegimas ir kt.

Vis labiau komercializuojantis internetą, vis daugiau dėmesio skiriama tinklu perduodamos informacijos apsaugai. Specializuoti protokolai, skirti organizuoti saugią sąveiką internetu (pavyzdžiui, SET, SOCKS5, SSL, SHTTP ir kt.), sulaukė didelio pripažinimo visame pasaulyje ir sėkmingai naudojami užsienio kūrėjų kurdami internetines bankininkystės ir prekybos elektronines sistemas.

Užsienyje elektroninio verslo informacijos saugumo problemą sprendžia nepriklausomas konsorciumas - Internet Security Task Force (ISTF) - visuomeninė organizacija, susidedanti iš įmonių, tiekiančių informacijos saugumo priemones, elektroninio verslo ir interneto paslaugas, atstovų ir ekspertų. teikėjai.

ISTF nustato dvylika informacijos saugumo sričių, kurioms turėtų būti skiriamas pagrindinis dėmesys. e-verslo organizatoriai:

Objektyvaus identifikuojančios informacijos patvirtinimo mechanizmas;

Teisę į asmeninę, privačią informaciją;

Apsaugos įvykių apibrėžimas;

Įmonės perimetro apsauga;

Atakų apibrėžimas;

Galimai u1086 pavojingo turinio kontrolė;

Prieigos kontrolė;

Administracija;

Reakcija į įvykius.

Yra žinoma, kad elektroninio skaitmeninio parašo (EDS) algoritmų naudojimas leidžia patikimai apsisaugoti nuo daugelio grėsmių, tačiau tai tiesa tik tuo atveju, jei šie algoritmai yra įausti į gerai pagrįstus sąveikos protokolus, teisiškai teisingą santykių struktūrą ir logiškai uždarą. pasitikėjimo sistema.

Informacijos saugumas grindžiamas paprasta skaitmeninio parašo apskaičiavimo ir jo patikrinimo atitinkamų raktų pora procesų logika, tačiau logika paremta fundamentiniais matematiniais tyrimais. Skaitmeninį parašą gali apskaičiuoti tik privataus rakto savininkas, o jį patikrinti gali visi, turintys privatųjį raktą atitinkantį viešąjį raktą.

Žinoma, šios srities specialistai turėtų būti įtraukti į informacijos saugumo užtikrinimą, tačiau valdžios organų, įmonių ir įstaigų vadovai, nepriklausomai nuo nuosavybės formos, atsakingi už tam tikrų ūkio subjektų ekonominį saugumą, privalo nuolatos saugoti šiuos klausimus. jų regėjimo laukas. Jiems žemiau pateikiami pagrindiniai funkciniai kompleksinės informacijos apsaugos sistemos organizavimo komponentai:

Ryšio protokolai;

Kriptografijos įrankiai;

Prieigos kontrolės priemonės darbo stotims iš viešųjų tinklų;

Antivirusiniai kompleksai;

Atakų aptikimo ir audito programos;

Įrankiai, skirti centralizuotai valdyti vartotojų prieigos kontrolę, taip pat saugiai keistis duomenų paketais ir bet kokių programų pranešimais atviruose tinkluose.

Internete jau seniai yra daug komitetų, daugiausia savanorių organizacijų, kurie kruopščiai vadovauja siūlomoms technologijoms standartizacijos procese. Šie komitetai, kurie sudaro didžiąją dalį Interneto inžinerijos darbo grupės (IETF), standartizavo keletą svarbių protokolų, paspartindami jų priėmimą internete.

Tokie protokolai kaip TCP/IP šeima duomenų ryšiui, SMTP (paprastas pašto transportavimo protokolas) ir POP (pašto biuro protokolas) el. paštui ir SNMP (paprastas tinklo valdymo protokolas) tinklo valdymui yra tiesioginiai IETF pastangų rezultatai. Naudojamo saugos produkto tipas priklauso nuo įmonės poreikių.

Internete populiarūs saugūs duomenų perdavimo protokolai, būtent SSL, SET, IP v.6. Išvardinti protokolai internete pasirodė palyginti neseniai, kaip būtinybė apsaugoti vertingą informaciją, ir iš karto tapo de facto standartais.

Deja, Rusijoje vis dar labai atsargiai žiūrima į galimybę įvesti internetą tose veiklos srityse, kurios yra susijusios su

konfidencialios informacijos perdavimas, apdorojimas ir saugojimas. Panašus

Atsargumas paaiškinamas ne tik šalies finansinių struktūrų, kurios bijo interneto atvirumo ir prieinamumo, konservatyvumu, bet iš dalies tuo, kad dauguma Vakarų gamybos įmonių informacijos saugumo programinės įrangos į mūsų rinką patenka su eksporto apribojimais. juose įdiegtus kriptografinius algoritmus. Pavyzdžiui, eksportuojant WWW serverių ir naršyklių programinės įrangos versijas iš tokių gamintojų kaip „Microsoft“ ir „Netscape Communications“, taikomi vieno rakto ir dviejų raktų šifravimo algoritmų, naudojamų SSL protokolu, rakto ilgio apribojimai, o tai neužtikrina viso. apsauga dirbant internete.

Tačiau elektroninės prekybos programos, be vidinių grėsmių, taip pat yra jautrios išorinėms grėsmėms, kylančioms iš interneto. Ir kadangi neracionalu kiekvienam anoniminiam lankytojui priskirti atskirą prisijungimo ID (kadangi programa neauga), įmonės turi naudoti kitokį autentifikavimo tipą. Be to, būtina paruošti serverius atakoms atremti. Galiausiai turėtumėte būti ypač atsargūs su neskelbtinais duomenimis, pavyzdžiui, kredito kortelių numeriais.

Duomenų šifravimas

Įmonės svetainė apdoroja neskelbtiną informaciją (pvz., vartojimo kredito kortelių numerius). Tokios informacijos perdavimas internetu be jokios apsaugos gali sukelti nepataisomų pasekmių. Kiekvienas gali klausytis perdavimo ir taip gauti prieigą prie konfidencialios informacijos. Todėl duomenys turi būti užšifruoti ir perduoti saugiu kanalu. Norint įgyvendinti saugų duomenų perdavimą, naudojamas Secure Sockets Layer (SSL) protokolas.

Norėdami įdiegti šią funkciją, turite įsigyti skaitmeninį sertifikatą ir įdiegti jį savo serveryje (-iuose). Galite kreiptis dėl skaitmeninio sertifikato iš vienos iš sertifikavimo įstaigų. Gerai žinomos komercinės sertifikavimo organizacijos: VerySign, CyberTrust, GTE.

SSL yra protokolų, tokių kaip HTTP (vadinamas HTTPS, kai saugus), FTP ir NNTP, schema. Kai duomenų perdavimui naudojate SSL:

Duomenys yra užšifruoti;

Užmegztas saugus ryšys tarp šaltinio serverio ir paskirties serverio;

Serverio autentifikavimas įjungtas.

Kai vartotojas pateikia kredito kortelės numerį naudodamas SSL, duomenys iš karto užšifruojami, kad įsilaužėlis negalėtų matyti jų turinio. SSL nepriklauso nuo tinklo protokolo.

Netscape serverio programinė įranga taip pat suteikia autentifikavimą – sertifikatus ir skaitmeninius parašus – patvirtinančius vartotojo tapatybę ir pranešimo vientisumą bei užtikrinantį, kad pranešimas nepakeitė savo maršruto.

Autentifikavimas apima vartotojo tapatybės patvirtinimą ir skaitmeninį parašą, siekiant patikrinti dokumentų, susijusių su informacijos mainais ir finansinėmis operacijomis, autentiškumą. Skaitmeninis parašas – tai duomenys, kuriuos galima pridėti prie dokumento, kad būtų išvengta klastojimo.

Įsibrovimo aptikimas

Įsibrovimų aptikimo sistemos (IDS) gali nustatyti atakų modelius ar pėdsakus ir generuoti pavojaus signalus

įspėti operatorius ir skatinti maršrutizatorius nutraukti ryšius su nelegalaus įsibrovimo šaltiniais. Šios sistemos taip pat gali užkirsti kelią bandymams sukelti paslaugų atsisakymą.

Darbo aprašymas

Šio darbo tikslas – ištirti elektroninės komercijos sampratą ir apsvarstyti elektroninės prekybos informacijos saugumo klausimus.
Užduotys:
- apibrėžti elektroninę prekybą;
- apsvarstyti pagrindinius jo elementus, tipus, teigiamus ir neigiamus aspektus;
- Apsvarstykite pagrindines grėsmių rūšis ir pagrindinius elektroninės prekybos saugumo užtikrinimo būdus.

Elektroninės komercijos informacijos saugumas (EB)

Interneto vartotojų skaičius pasiekė kelis šimtus milijonų ir atsirado nauja kokybė – „virtuali ekonomika“. Joje perkama per apsipirkimo svetaines, naudojant naujus verslo modelius, savo rinkodaros strategiją ir kt.

Elektroninė prekyba (EB) – tai verslo veikla, skirta prekių pardavimui internetu. Paprastai yra dvi EB formos:

* prekyba tarp įmonių (verslas verslui, B2B);

* prekyba tarp įmonių ir asmenų, t.y. vartotojų (verslas vartotojui, B2C).

EB sukūrė tokias naujas koncepcijas kaip:

* Elektroninė parduotuvė – vitrinos ir prekybos sistemos, kurias naudoja gamintojai ar prekiautojai, kai yra prekių paklausa.

* Elektroninis katalogas – su dideliu įvairių gamintojų prekių asortimentu.

* Elektroninis aukcionas – tai klasikinio aukciono, naudojančio interneto technologijas, analogas, turintis būdingą ryšį su multimedijos sąsaja, interneto prieigos kanalu ir produkto savybių rodymu.

* Elektroninė universalinė parduotuvė yra įprastos universalinės parduotuvės, kurioje paprastos įmonės demonstruoja savo prekes, analogas su efektyviu prekės ženklu (Gostiny Dvor, GUM ir kt.).

* Virtualios bendruomenės (bendruomenės), kuriose pirkėjus organizuoja interesų grupės (fanų klubai, asociacijos ir kt.).

Internetas EB srityje duoda daug naudos:

* didelių privačių įmonių sutaupymas perkeliant žaliavų ir komponentų pirkimus į interneto biržas siekia 25 - 30%;

* dalyvavimas konkuruojančių tiekėjų iš viso pasaulio aukcione realiu laiku sumažina jų užprogramuotas prekių ar paslaugų tiekimo kainas;

* didėjančios prekių ar paslaugų kainos dėl pirkėjų iš viso pasaulio konkurencijos;

* sutaupoma mažinant reikalingų darbuotojų skaičių ir popierizmo apimtį.

EB dominuojančia padėtimi Vakarų šalyse tapo B2B sektorius, kuris iki 2007 metų, įvairiais skaičiavimais, pasieks nuo 3 iki 6 trln. dolerių. Pirmosios naudos iš verslo perkėlimo į internetą gavo įmonės, prekiaujančios technine ir programine įranga bei teikiančios kompiuterių ir telekomunikacijų paslaugas.

Kiekvienoje internetinėje parduotuvėje yra dvi pagrindinės komponentai:

elektroninė parduotuvė ir prekybos sistema.

Elektroninėje vitrinoje yra pateikiama informacija apie Svetainėje parduodamas prekes, suteikiama prieiga prie parduotuvės duomenų bazės, registruojami pirkėjai, dirbama su pirkėjo elektroniniu „krepšeliu“, atliekami užsakymai, renkama rinkodaros informacija, perduodama informacija į prekybos sistemą.

Prekybos sistema pristato prekes ir apmoka už jas. Prekybos sistema yra parduotuvių, priklausančių skirtingoms įmonėms, rinkinys, nuomojantis vietą žiniatinklio serveryje, priklausančiame atskirai įmonei.

Internetinės parduotuvės veikimo technologija taip:

Pirkėjas išsirenka norimą prekę elektroninėje vitrinoje su prekių ir kainų katalogu (Svetainėje) ir užpildo formą su savo asmens duomenimis (vardas ir pavardė, pašto ir el. pašto adresai, pageidaujamas pristatymo ir apmokėjimo būdas). Jei atsiskaitoma internetu, ypatingas dėmesys skiriamas informacijos saugumui.

Sukomplektuotų prekių perkėlimas į internetinės parduotuvės prekybos sistemą,

kur vykdomas užsakymas. Prekybos sistema veikia rankiniu būdu arba automatiškai. Rankinė sistema veikia pagal Posyltorg principą, kai neįmanoma įsigyti ir sukurti automatizuotos sistemos, kaip taisyklė, kai prekių kiekis yra mažas.

Prekių pristatymas ir apmokėjimas. Prekės pristatomos pirkėjui

vienu iš galimų būdų:

* parduotuvės kurjeris mieste ir aplinkiniuose rajonuose;

* specializuota kurjerių tarnyba (taip pat ir iš užsienio);

* paimti;

* tokia specifinė informacija teikiama telekomunikacijų tinklais

produktas kaip informacija.

Atsiskaityti už prekes galima šiais būdais:

* preliminarus arba prekės gavimo metu;

* grynais kurjeriui arba apsilankius tikroje parduotuvėje;

* pavedimu paštu;

* Banko operacija;

* mokėti pristatymo metu;

* naudojant kredito korteles (VISA, MASTER CARD ir kt.);

per elektronines mokėjimo sistemas per individualias komercines

bankai (TELEBANKAS, ASSIST ir kt.).

Pastaruoju metu pasaulyje gana sparčiai vystosi elektroninė prekyba arba prekyba internetu. Natūralu, kad šis procesas

tiesiogiai dalyvaujant finansų įstaigoms. Ir šis prekybos būdas tampa vis populiaresnis, bent jau ten, kur naująja elektronine rinka gali naudotis nemaža dalis verslo ir gyventojų.

Komercinė veikla elektroniniuose tinkluose panaikina kai kuriuos fizinius apribojimus. Įmonės, jungiančios savo kompiuterines sistemas prie

Internetas, gali teikti klientams pagalbą 24 valandas per parą be švenčių ir savaitgalių. Prekių užsakymai gali būti priimami bet kuriuo metu iš bet kurios vietos.

Tačiau ši „moneta“ turi ir kitą pusę. Užsienyje, kur elektroninė prekyba išvystyta plačiausiai, sandoriai ar prekių savikaina dažnai ribojama iki 300–400 USD. Taip yra dėl nepakankamo informacijos saugumo problemų kompiuteriniuose tinkluose sprendimo. JT nusikaltimų prevencijos ir kontrolės komiteto teigimu, kompiuteriniai nusikaltimai pasiekė vienos iš tarptautinių problemų lygį. Jungtinėse Amerikos Valstijose ši nusikalstamos veiklos rūšis užima trečią vietą pagal pelningumą po ginklų ir narkotikų prekybos.

Pasaulinės elektroninės prekybos apyvartos internetu apimtis 2006 m.

Remiantis „Forrester Tech.“ prognozėmis, ji gali siekti nuo 1,8 iki 2 trilijonų. dolerių.Tokį platų prognozių diapazoną lemia elektroninės prekybos ekonominio saugumo užtikrinimo problema. Jei saugumo lygis išliks dabartiniame lygyje, pasaulinė elektroninės prekybos apyvarta gali būti dar mažesnė. Iš to seka, kad būtent mažas elektroninės prekybos sistemos saugumas yra ribojantis veiksnys plėtojant elektroninį verslą.

Elektroninės prekybos ekonominio saugumo užtikrinimo problemos sprendimas pirmiausia siejamas su joje naudojamų informacinių technologijų apsaugos, tai yra informacijos saugumo užtikrinimo, klausimų sprendimu.

Verslo procesų integravimas į interneto aplinką lemia esminį saugumo situacijos pasikeitimą. Teisių ir pareigų kūrimas remiantis elektroniniu dokumentu reikalauja kompleksinės apsaugos nuo visų grėsmių – tiek dokumento siuntėjo, tiek jo gavėjo. Deja, elektroninės prekybos įmonių vadovai tinkamai suvokia informacinių grėsmių rimtumą ir savo išteklių apsaugos organizavimo svarbą tik po to, kai pastarosios patiria informacines atakas. Kaip matote, visos išvardintos kliūtys yra susijusios su informacijos saugumo sritimi.

Pagrindiniai komercinių sandorių vykdymo reikalavimai yra konfidencialumas, vientisumas, autentifikavimas, įgaliojimai, garantijos ir slaptumas.

Siekiant informacijos saugumo, jos prieinamumo užtikrinimo, yra konfidencialumas, vientisumas ir teisinė reikšmė pagrindinis užduotys . Kiekviena grėsmė turi būti įvertinta atsižvelgiant į tai, kaip ji gali paveikti šias keturias saugios informacijos savybes arba savybes.

Konfidencialumas reiškia, kad riboto naudojimo informacija turėtų būti prieinama tik tiems, kuriems ji skirta. Pagal vientisumas informacija suprantama kaip jos savybė egzistuoti neiškreipta forma. Prieinamumas informaciją lemia sistemos gebėjimas laiku, netrukdomai suteikti prieigą prie informacijos subjektams, kurie turi tam atitinkamus įgaliojimus. Teisinė reikšmė informacija tapo svarbi pastaruoju metu, kartu sukūrus informacijos saugumo reguliavimo sistemą mūsų šalyje.

Jei pirmuosius keturis reikalavimus galima įvykdyti techninėmis priemonėmis, tai paskutiniųjų dviejų įgyvendinimas priklauso tiek nuo techninių priemonių, tiek nuo asmenų bei organizacijų atsakomybės, tiek nuo įstatymų, saugančių vartotojus nuo galimo pardavėjų sukčiavimo, laikymosi.

Užtikrinant visapusišką informacijos saugumą, visų pirma, būtina pabrėžti raktą problemų elektroninės saugos srityje verslui kuri apima:

informacijos apsauga ją perduodant ryšio kanalais; kompiuterių sistemų, duomenų bazių ir elektroninių dokumentų valdymo apsauga;

ilgalaikio informacijos saugojimo elektronine forma užtikrinimas; užtikrinant operacijų saugumą, komercinės informacijos konfidencialumą, autentifikavimą, intelektinės nuosavybės apsaugą ir kt.

Yra keletas elektroninės prekybos grėsmių tipų:

 Įsiskverbimas į sistemą iš išorės.

 Neteisėta prieiga įmonės viduje.

 Tyčinis informacijos perėmimas ir skaitymas.

 tyčinis duomenų ar tinklų sutrikdymas.

 Neteisinga (dėl sukčiavimo) identifikavimo

Vartotojas.

 Programinės ir techninės įrangos apsaugos įsilaužimas.

 Neteisėta vartotojo prieiga iš vieno tinklo į kitą.

 Virusų atakos.

 Paslaugų atsisakymas.

 Finansinis sukčiavimas.

Siekiant kovoti su šiomis grėsmėmis, naudojama daugybė metodų, pagrįstų įvairiomis technologijomis, būtent: šifravimas – duomenų kodavimas, neleidžiantis jų nuskaityti ar iškraipyti; skaitmeniniai parašai, patvirtinantys siuntėjo ir gavėjo tapatybę; slaptos technologijos, naudojant elektroninius raktus; ugniasienės; virtualūs ir privatūs tinklai.

Joks apsaugos būdas nėra universalus, pavyzdžiui, ugniasienės netikrina virusų ir negali užtikrinti duomenų vientisumo. Nėra visiškai patikimo būdo, kaip kovoti su automatinės apsaugos įsilaužimu, ir tik laiko klausimas, kada bus įsilaužta. Tačiau laikas, kurio reikia norint sulaužyti tokią apsaugą, savo ruožtu priklauso nuo jos kokybės. Reikia pasakyti, kad programinė ir techninė įranga, apsauganti ryšius ir programas internete, buvo kuriama ilgą laiką, nors naujos technologijos diegiamos kiek netolygiai.

Kuris grasinimai laukia elektroninės prekybos įmonės kiekviename etape :

 elektroninės parduotuvės serverio interneto puslapio pakeitimas (užklausų peradresavimas į kitą serverį), informacijos apie klientą, ypač apie jo kreditines korteles, pateikimas trečiosioms šalims;

 netikrų užsakymų kūrimas ir įvairių formų sukčiavimas iš elektroninės parduotuvės darbuotojų pusės, pavyzdžiui, manipuliavimas duomenų bazėmis (statistika rodo, kad daugiau nei pusė kompiuterinių incidentų yra susiję su jų pačių darbuotojų veikla);

 elektroninės prekybos tinklais perduodamų duomenų perėmimas;

 užpuolikų įsiskverbimas į įmonės vidinį tinklą ir elektroninių parduotuvių komponentų kompromitavimas;