Informācijas drošība e-komercijas sistēmās. “Elektroniskās tirdzniecības drošība. Informācijas aizsardzības galvenie virzieni

Ievads………………………………………………………………………..…3
1. Elektroniskā komercija un tās attīstības vēsture……………………………………………………………………
1.1. E-komercijas vēsture…………………………………………………………6
2. E-komercijas drošība…………………………………………..8
2.1. Riski un draudi……………………………………………………….…… ...11
Secinājums……………………………………………………………………….17
Literatūras saraksts………………………………………………………………… 20

Ievads

Globālais internets ir padarījis e-komerciju pieejamu jebkura lieluma uzņēmumiem. Ja agrāk elektroniskās datu apmaiņas organizēšana prasīja ievērojamus ieguldījumus sakaru infrastruktūrā un bija iespējama tikai lieliem uzņēmumiem, tad interneta izmantošana mūsdienās ļauj mazajiem uzņēmumiem pievienoties "elektronisko tirgotāju" rindām. Elektroniskā veikala mājaslapa globālajā tīmeklī sniedz jebkuram uzņēmumam iespēju piesaistīt klientus no visas pasaules. Šāds tiešsaistes bizness veido jaunu pārdošanas kanālu - “virtuālo”, kas gandrīz neprasa materiālus ieguldījumus. Ja informāciju, pakalpojumus vai produktus (piemēram, programmatūru) var piegādāt, izmantojot Web, tad viss pārdošanas process (ieskaitot maksājumu) var notikt tiešsaistē.
E-komercijas definīcija ietver ne tikai uz internetu orientētas sistēmas, bet arī “elektroniskos veikalus”, kas izmanto citas komunikācijas vides - BBS, VAN u.c. Tajā pašā laikā pārdošanas procedūras, kas uzsāktas ar informāciju no WWW, bet datu apmaiņai izmantojot faksu, tālruni u.c., ir tikai daļēji klasificējamas kā e-komercija. Mēs arī atzīmējam, ka, neskatoties uz to, ka WWW ir e-komercijas tehnoloģiskais pamats, vairākas sistēmas izmanto arī citas komunikācijas iespējas. Tādējādi pieprasījumus pārdevējam precizēt preces parametrus vai veikt pasūtījumu var nosūtīt arī pa e-pastu.
Mūsdienās dominējošie maksāšanas līdzekļi pirkumiem internetā ir kredītkartes. Taču uz skatuves ienāk arī jauni maksāšanas līdzekļi: viedkartes, digitālā skaidrā nauda, ​​mikromaksājumi un elektroniskie čeki.
E-komercija ietver ne tikai tiešsaistes darījumus. Jomā, uz kuru attiecas šis jēdziens, jāiekļauj arī tādas darbības kā mārketinga pētījumu veikšana, iespēju un partneru noteikšana, attiecību uzturēšana ar piegādātājiem un patērētājiem, dokumentu plūsmas organizēšana utt. Tādējādi e-komercija ir sarežģīts jēdziens un ietver elektroniskās apmaiņas datus kā vienu no sastāvdaļām.

E-komercija un tās attīstības vēsture

E-komercija ir saimnieciskās darbības veids, lai ar elektronisko datortīklu starpniecību reklamētu preces un pakalpojumus no ražotājiem līdz patērētājiem. Citiem vārdiem sakot, e-komercija ir preču un pakalpojumu mārketings, iegāde un pārdošana, izmantojot datortīklus, galvenokārt internetu. E-komercija sniedz jaunas iespējas uzlabot komercdarbības efektivitāti kopumā.
Atšķirībā no tradicionālās komercijas, e-komercija sniedz uzņēmumiem šādas iespējas:
A) Pārdodiet savus produktus, izmantojot internetu;
B) Attīstīt un koordinēt attiecības ar patērētājiem un piegādātājiem;
B) apmainīties ar precēm un pakalpojumiem elektroniski;
D) Samazināt digitālo produktu piegādes un pēcpārdošanas klientu atbalsta cenu;
D) ātri reaģēt uz tirgus izmaiņām;
E) Samazināt pieskaitāmās izmaksas;
G) Uzlabot klientu apkalpošanu un iepazīstināt klientus ar saviem pakalpojumiem;
H) Paplašināt patērētāju loku;
I) Ņem vērā pircēja individuālās vajadzības;
E-komercija ļauj pircējiem:
A) Pērciet preces jebkurā laikā un vietā;
B) Veikt salīdzinošu cenu analīzi un izvēlēties labāko;
C) iegūt vienlaicīgu piekļuvi plašam produktu klāstam;
D) Izvēlieties ērtus mehānismus pirkumu veikšanai;
D) Saņemiet informāciju un ziņas atkarībā no jūsu vēlmēm.
1.1 E-komercijas vēsture

Pirmās e-komercijas sistēmas parādījās 1960. gados ASV. Tie tika izmantoti transporta kompānijās datu apmaiņai starp dažādiem dienestiem, gatavojot lidojumus un rezervējot biļetes.
Sākotnēji šāda tirdzniecība tika veikta, izmantojot tīklus ārpus interneta, izmantojot īpašus standartus elektroniskai datu apmaiņai starp organizācijām.
Līdz 1960. gadu beigām Amerikas Savienotajās Valstīs bija četri nozares standarti datu apmaiņai starp dažādiem transporta uzņēmumiem. Lai apvienotu šos standartus, 1968. gadā tika izveidota īpaša Transporta datu saskaņošanas komiteja. darba rezultāti veidoja jaunā EDI standarta pamatu.
70. gados līdzīgi notikumi notika Anglijā. Šajā valstī galvenā EDI pielietojuma joma nebija transports, bet gan tirdzniecība. Šeit atlasīto Tradacoms specifikāciju kopu ir pieņēmusi Apvienoto Nāciju Organizācijas Eiropas Ekonomikas komisija kā standartu datu apmaiņai starptautiskajās tirdzniecības organizācijās.
Astoņdesmitajos gados sākās darbs pie Eiropas un Amerikas standartu apvienošanas. Šī darba rezultātā Starptautiskās tirdzniecības veicināšanas darba grupas 42. sesija 1996. gada septembrī pieņēma Rekomendāciju Nr. 25 “Apvienoto Nāciju Organizācijas elektroniskās datu apmaiņas standarta izmantošana administrācijā, tirdzniecībā un transportā”.
Tādējādi. Deviņdesmito gadu sākumā parādījās EDI-FACT standarts, un to pieņēma ISO (ISO 9735).
Taču galīgā Amerikas un Eiropas standartu apvienošana nenotika. Elektroniskajai datu apmaiņai ir parādījusies jauna, daudzsološāka iespēja – datu apmaiņa caur internetu.
Interneta attīstība ar zemajām datu pārraides izmaksām ir padarījusi steidzamu EDI sistēmu modernizāciju. Rezultātā 90. gadu vidū tika izstrādāts vēl viens standarts – EDIFACT over Internet (EDIINT), kas apraksta, kā pārsūtīt EDI transakciju, izmantojot SMTP/S-MIME drošo e-pasta protokolus.
E-komercijas rašanās un popularitātes izaugsmei ir vairāki demogrāfiski un tehnoloģiski priekšnoteikumi, piemēram:
a) plaša piekļuve informācijas tehnoloģijām, jo ​​īpaši datoriem un internetam;
b) sabiedrības izglītības līmeņa paaugstināšana un līdz ar to brīvāka pārvietošanās ar tehnoloģijām;
c) tehnoloģiskais progress un digitālā revolūcija ir devusi iespēju daudzām digitālajām ierīcēm savstarpēji mijiedarboties, piemēram, datoram, mobilajam tālrunim utt.;
d) globalizācija, atvērta ekonomika, konkurence globālā mērogā;
e) e-komercijas pieejamība ikvienam, jebkurā laikā un jebkurā vietā.
f) vēlme ietaupīt laiku;
g) preču un pakalpojumu klāsta pieaugums, pieaugošais pieprasījums pēc īpašām precēm un pakalpojumiem.

Elektroniskās komercijas drošība.

Viena no galvenajām e-komercijas problēmām mūsdienās joprojām ir drošības problēma, t.i. risku samazināšana un informācijas aizsardzība.
Iemesli normālas uzņēmuma darbības traucējumiem internetā var būt: datorvīrusi, krāpšana, kas rada finansiālus zaudējumus; konfidenciālas informācijas zādzība; nelikumīga iejaukšanās failos ar konfidenciālu informāciju par patērētājiem utt.
Uzņēmuma elektroniskās vietnes aizsardzības pakāpe ir atkarīga no tajā esošās informācijas konfidencialitātes līmeņa un nepieciešamības pēc tās atbilstības. Tātad, piemēram, ja vietnē tiek ievadīti kredītkaršu numuri, tad ir jānodrošina visaugstākā tīmekļa servera aizsardzības pakāpe.
Drošības uzturēšanas uzdevumi e-komercijā ir lietotāja autentifikācija, informācijas konfidencialitātes un integritātes saglabāšana: autentifikācija - lietotāja autentiskuma pārbaude; konfidencialitāte – lietotāja sniegtās privātās informācijas saglabāšanas nodrošināšana; informācijas integritāte – izkropļojuma trūkums pārraidītajā informācijā.
Hakeri un vīrusi var apdraudēt tīmekļa servera informācijas integritāti.
Hakeris iekļūst vāji aizsargātos datoros un serveros un instalē īpašas programmas - neredzamas, kuras ir diezgan grūti atklāt. Parasti šāda neredzama programma nekaitē vietnei, bet rada lielus sastrēgumus tīklā. Hakeris nosaka sava uzbrukuma mērķi un aktivizē iepriekš instalētu programmu, nosūtot komandu pa internetu vairākiem datoriem. Tas sāk uzbrukumu, kas pārslogo komercuzņēmuma tīklu.
Vēl viens nopietns datoru un serveru drošības pārkāpumu veids internetā ir vīruss. Vīrusi pārkāpj sistēmas integritāti un maldina informācijas drošības pasākumus. Labākais līdzeklis aizsardzībai pret vīrusiem ir pretvīrusu programmu instalēšana un periodiska atjaunināšana, kā arī ugunsmūru izmantošana. Ugunsmūris ir filtrs, kas uzstādīts starp korporatīvo tīklu un internetu, lai aizsargātu informāciju un failus no nesankcionētas piekļuves un atļautu piekļuvi tikai pilnvarotām personām. Tādējādi ugunsmūris neļauj datorvīrusiem un hakeriem iekļūt uzņēmuma tīklā un pasargā to no ārējās ietekmes, kad ir izveidots savienojums ar internetu.
Ieviešot e-komerciju, viens no būtiskākajiem jautājumiem ir informācijas konfidencialitāte. Informācijai, ko lietotājs sniedz uzņēmumam, jābūt droši aizsargātai. Viens no veidiem, kā nodrošināt drošu un konfidenciālu datu pārraidi datortīklos, ir kriptogrāfija, t.i. šifrējot vai kodējot datus, lai tos varētu lasīt tikai konkrētā darījumā iesaistītās puses.
Šifrējot, ziņojuma sūtītājs pārvērš tekstu rakstzīmju komplektā, ko nevar nolasīt, neizmantojot īpašu adresātam zināmu atslēgu. Šifrēšanas atslēga ir rakstzīmju secība, kas tiek saglabāta datora cietajā diskā vai disketē. Informācijas drošības pakāpe ir atkarīga no šifrēšanas algoritma un atslēgas garuma, ko mēra bitos.
Ir divu veidu šifrēšanas algoritmi:

simetrisks, kurā gan informācijas šifrēšanai, gan atšifrēšanai tiek izmantota viena un tā pati atslēga, kas zināma abām pusēm;
asimetrisks, kurā tiek izmantotas divas atslēgas, viena šifrēšanai un otra atšifrēšanai. Viena no šīm atslēgām ir privāta (slepena), otrā ir atvērta (publiska).

Viena no pazīstamākajām un daudzsološākajām ziņu sūtītāja autentifikācijas metodēm ir elektroniskais ciparparaksts (EDS) – ar roku rakstīta paraksta elektroniskais ekvivalents. Pirmo digitālo parakstu 1976. gadā ierosināja Vitfīlds Difijs no Stenfordas universitātes. Krievijas Federācijas federālais likums “Par elektronisko digitālo parakstu” nosaka, ka elektroniskais ciparparaksts ir priekšnoteikums elektroniskam dokumentam, kas paredzēts, lai aizsargātu šo dokumentu no viltošanas un kas iegūts informācijas kriptogrāfiskas pārveidošanas rezultātā, izmantojot elektroniskā elektroniskā dokumenta privāto atslēgu. ciparparakstu un ļauj identificēt paraksta atslēgas sertifikāta īpašnieku, kā arī konstatēt informācijas sagrozīšanas neesamību elektroniskajā dokumentā.
Elektroniskā ciparparaksta pielietošanas process ir šāds:
1. sūtītājs izveido ziņojumu un šifrē to ar savu privāto atslēgu, kas vienlaikus ir arī sūtītāja elektroniskais ciparparaksts. Šajā gadījumā tiek šifrēts gan pats saziņas teksts, gan dokumenta beigās pievienotais ciparparaksts.
2. sūtītājs šifrēto vēstuli un savu publisko atslēgu pa sakaru kanāliem pārraida saņēmējam;
3. Adresāts atšifrē ziņojumu, izmantojot sūtītāja publisko atslēgu.
4. Kopā ar ciparparakstu parasti tiek izmantota kāda no esošajām Hash funkcijām. Funkcija HASH ziņojuma apstrādes laikā izveido rakstzīmju virkni, ko sauc par ziņojuma kopsavilkumu. Sūtītājs izveido ziņojuma kopsavilkumu, šifrē to un arī pārsūta to adresātam. Saņēmējs apstrādā ziņojumu ar to pašu HASH funkciju un saņem arī ziņojuma kopsavilkumu. Ja abi ziņojumu kopsavilkumi sakrīt, ziņojums tika saņemts bez bojājumiem.
5. Ciparsertifikātus izmanto, lai apstiprinātu publiskās atslēgas īpašumtiesības konkrētai personai vai komercuzņēmumam. Digitālais sertifikāts ir dokuments, ko izsniedz sertifikācijas iestāde, lai apstiprinātu konkrētas personas vai uzņēmuma identitāti, pārbaudot tā nosaukumu un publisko atslēgu. Lai iegūtu digitālo sertifikātu, jums jāsazinās ar sertifikācijas centru un jāsniedz nepieciešamā informācija. Katra sertifikācijas iestāde nosaka savas cenas un, kā likums, izsniedz digitālo sertifikātu uz gadu ar iespēju pēc maksājuma par nākamo gadu to atjaunot.
Lai risinātu drošības problēmas, e-komercijas uzņēmumi izmanto SSL un SET tehnoloģiju.
SSL protokols ir galvenais protokols, ko izmanto, lai aizsargātu internetā pārsūtītos datus. Šis protokols ir balstīts uz asimetrisku un simetrisku šifrēšanas algoritmu kombināciju. Tas nodrošina trīs galvenās funkcijas: servera autentifikāciju, klienta autentifikāciju un SSL šifrētu savienojumu.
SET protokols ir protokols, ko izmanto darījumiem starp komercbankām un kredītkaršu klientiem.

Riski un draudi

Jebkurš bizness ir saistīts ar riskiem, kas izriet no konkurences, zādzībām, sabiedrības preferenču nestabilitātes, dabas katastrofām utt. Tomēr ar e-komerciju saistītajiem riskiem ir savas īpatnības un avoti, tostarp:
Laupītāji.
Nespēja piesaistīt pavadoņus.
Iekārtu atteices.
Strāvas, sakaru līniju vai tīkla kļūmes.
Atkarība no piegādes pakalpojumiem.
Spraiga konkurence.
Programmatūras kļūdas.
Izmaiņas politikā un nodokļos.
Ierobežota sistēmas jauda.

Laupītāji
Vispopulārākos draudus e-komercijai rada datoru hakeri. Jebkurš uzņēmums ir pakļauts noziedznieku uzbrukuma draudiem, un lielie e-komercijas uzņēmumi piesaista dažāda līmeņa datoru hakeru uzmanību.
Šīs uzmanības iemesli ir dažādi. Dažos gadījumos tās ir vienkārši “tīras sportiskas intereses”, citos – vēlme nodarīt ļaunumu, nozagt naudu vai bez maksas iegādāties preci vai pakalpojumu.
Vietnes drošību nodrošina šādu pasākumu kombinācija:
Dublējiet svarīgu informāciju.
Personāla politika, kas ļauj piesaistīt darbā tikai apzinīgus cilvēkus un veicināt darbinieku apzinīgumu. Bīstamākie uzlaušanas mēģinājumi nāk no uzņēmuma iekšienes.
Programmatūras ar datu aizsardzības iespējām izmantošana un savlaicīga atjaunināšana.
Apmācīt personālu, lai noteiktu mērķus un atpazītu sistēmas nepilnības.
Auditēšana un reģistrēšana, lai atklātu veiksmīgus un neveiksmīgus uzlaušanas mēģinājumus.
Parasti uzlaušana ir veiksmīga, pateicoties viegli uzmināmām parolēm, bieži sastopamām konfigurācijas kļūdām un nespējai laikus atjaunināt programmatūras versijas. Lai pasargātu sevi no ne pārāk izsmalcināta zagļa, pietiek ar salīdzinoši vienkāršu pasākumu veikšanu. Kā pēdējais līdzeklis vienmēr ir jābūt kritisko datu rezerves kopijai.

Nespēja piesaistīt pavadoņus
Lai gan lielākās bažas rada hakeru uzbrukumi, lielākā daļa e-komercijas neveiksmju joprojām rodas tradicionālo ekonomisko faktoru dēļ. Lielas e-komercijas vietnes izveide un mārketings prasa daudz naudas. Uzņēmumi dod priekšroku īstermiņa ieguldījumiem, piedāvājot tūlītēju klientu un ieņēmumu pieaugumu, tiklīdz zīmols ir nostiprinājies tirgū.
E-komercijas sabrukums noveda pie daudzu uzņēmumu sabrukuma, kas specializējās tikai tajā.

Iekārtu atteices
Pilnīgi acīmredzams, ka kāda uzņēmuma, kura darbība ir vērsta uz internetu, datora svarīgas daļas atteice var tai nodarīt būtisku kaitējumu.
Aizsardzība pret dīkstāvi vietām, kas darbojas ar lielu slodzi vai veic svarīgas funkcijas, tiek nodrošināta ar dublēšanos, lai neviena komponenta atteice neietekmētu visas sistēmas funkcionalitāti. Taču arī šeit ir jāizvērtē zaudējumi no iespējamās dīkstāves, salīdzinot ar papildu aprīkojuma iegādes izmaksām.
Daudzus datorus, kuros darbojas Apache, PHP un MySQL, ir salīdzinoši viegli iestatīt. Turklāt MySQL replikācijas dzinējs nodrošina vispārēju informācijas sinhronizāciju starp datu bāzēm. Taču liels datoru skaits nozīmē arī lielas izmaksas aprīkojuma uzturēšanai, tīkla infrastruktūrai un hostingam.
Strāvas, sakaru līniju, tīkla un piegādes pakalpojumu kļūmes
Interneta atkarība nozīmē atkarību no daudziem savstarpēji savienotiem pakalpojumu sniedzējiem, tādēļ, ja pēkšņi pārtrūkst savienojums ar pārējo pasauli, nekas cits neatliek, kā gaidīt, kad tas tiks atjaunots. Tas pats attiecas uz strāvas padeves pārtraukumiem un streikiem vai citiem strāvas padeves pārtraukumiem un streikiem vai citiem piegādes uzņēmuma darbības traucējumiem.
Ja jums ir pietiekams budžets, varat sazināties ar vairākiem pakalpojumu sniedzējiem. Tas rada papildu izmaksas, bet nodrošina nepārtrauktu darbību, ja kāds no tiem sabojājas. Ekstrēmus strāvas padeves pārtraukumus var pasargāt, uzstādot nepārtrauktās barošanas avotus.

Spraiga konkurence
Atverot kiosku uz ielas, novērtēt konkurences vidi nav īpaši sarežģīti – konkurenti būs visi, kas tirgo vienu un to pašu preci redzeslokā. E-komercijas gadījumā situācija ir nedaudz sarežģītāka.
Atkarībā no piegādes izmaksām, valūtas svārstībām un darbaspēka izmaksu atšķirībām konkurenti var atrasties jebkur. Internets ir ļoti konkurētspējīga un strauji attīstās vide. Populārajās uzņēmējdarbības nozarēs gandrīz katru dienu parādās jauni konkurenti.
Konkurences risku ir grūti novērtēt. Šeit vispareizākā stratēģija ir atbalstīt pašreizējo tehnoloģiju līmeni.

Programmatūras kļūdas
Ja uzņēmums ir atkarīgs no programmatūras, tas ir neaizsargāts pret šīs programmatūras kļūdām.

Kritisko kļūmju iespējamību var samazināt, instalējot uzticamu programmatūru, veicot testēšanu pēc katras bojātas aparatūras nomaiņas un izmantojot oficiālas testēšanas procedūras. Ir ļoti svarīgi visus sistēmas jauninājumus papildināt ar rūpīgu testēšanu.
Lai samazinātu programmatūras kļūmju radītos bojājumus, nekavējoties jādublē visi dati. Veicot izmaiņas, ir jāsaglabā iepriekšējās programmas konfigurācijas. Lai ātri atklātu iespējamos darbības traucējumus, ir nepieciešama pastāvīga sistēmas uzraudzība.

Izmaiņas nodokļu politikā
Daudzās valstīs e-biznesa aktivitātes nav definētas vai nav pietiekami definētas likumā. Tomēr šāda situācija nevar pastāvēt mūžīgi, un problēmas atrisināšana radīs vairākas problēmas, kas var izraisīt dažu uzņēmumu slēgšanu. Turklāt vienmēr pastāv lielāki nodokļi.
No šīm problēmām nevar izvairīties. Šajā situācijā vienīgā saprātīgā rīcība būtu situācijas rūpīga uzraudzība un uzņēmuma darbības saskaņošana ar likumu. Jāizpēta arī iespēja lobēt savas intereses.

Ierobežota sistēmas jauda
Sistēmas projektēšanas stadijā noteikti jāapsver tās izaugsmes iespēja. Panākumi ir nesaraujami saistīti ar slodzēm, tāpēc sistēmai ir jānodrošina aprīkojuma paplašināšana.
Ierobežotu veiktspējas pieaugumu var panākt, nomainot aparatūru, taču pat vismodernākā datora ātrumam ir ierobežojumi, tāpēc programmatūrai ir jānodrošina iespēja sadalīt slodzi pa vairākām sistēmām, kad tiek sasniegts noteiktais ierobežojums. Piemēram, datu bāzes pārvaldības sistēmai jāspēj vienlaikus apstrādāt pieprasījumus no vairākām iekārtām.
Sistēmas paplašināšana nav nesāpīga, taču savlaicīga plānošana izstrādes stadijā ļauj paredzēt daudzas nepatikšanas, kas saistītas ar klientu skaita pieaugumu, un novērst tās jau iepriekš.

Secinājums
Lai gan savienojuma izveide ar internetu sniedz milzīgas priekšrocības, pateicoties piekļuvei milzīgam informācijas apjomam, tā ir bīstama arī vietnēm ar zemu drošības līmeni. Internets cieš no nopietnām drošības problēmām, kuras, ja tās ignorē, nesagatavotām vietnēm var izraisīt katastrofu. Kļūdas TCP/IP dizainā, resursdatora administrēšanas sarežģītība, programmu ievainojamība un vairāki citi faktori kopā padara neaizsargātas vietnes neaizsargātas pret uzbrucēju darbībām.
Organizācijām ir jāatbild uz šādiem jautājumiem, lai pareizi izvērtētu interneta savienojamības ietekmi uz drošību:
Vai hakeri var iznīcināt iekšējās sistēmas?
Vai organizācijas svarīgā informācija var tikt apdraudēta (modificēta vai nolasīta), pārraidot to internetā?
Vai ir iespējams iejaukties organizācijas darbā?
Tie visi ir svarīgi jautājumi. Ir daudz tehnisku risinājumu, lai apkarotu galvenās interneta drošības problēmas. Tomēr tiem visiem ir sava cena. Daudzi risinājumi ierobežo funkcionalitāti, lai palielinātu drošību. Citas prasa ievērojamus kompromisus attiecībā uz interneta lietošanas ērtumu. Vēl citi prasa ievērojamu resursu ieguldījumu – darba laiku drošības ieviešanai un uzturēšanai un naudu aprīkojuma un programmu iegādei un uzturēšanai.
Interneta drošības politikas mērķis ir izlemt, kā organizācija gatavojas sevi aizsargāt. Politika parasti sastāv no divām daļām – vispārīgiem principiem un īpašiem darbības noteikumiem (kas ir līdzvērtīgi tālāk aprakstītajai konkrētajai politikai). Vispārīgi principi nosaka pieeju interneta drošībai. Noteikumi nosaka, kas ir atļauts un kas ir aizliegts. Noteikumus var papildināt ar īpašām procedūrām un dažādām vadlīnijām.
Tiesa, interneta drošības literatūrā parādās trešais politikas veids. Tā ir tehniska pieeja. Šajā publikācijā tehniskā pieeja tiks saprasta kā analīze, kas palīdz īstenot politikas principus un noteikumus. Tas parasti ir pārāk tehnisks un sarežģīts, lai to saprastu organizācijas vadība. Tāpēc to nevar izmantot tik plaši kā politiku. Tomēr tas ir nepieciešams, aprakstot iespējamos risinājumus, nosakot kompromisus, kas ir nepieciešams politikas apraksta elements.
Lai interneta politika būtu efektīva, politikas veidotājiem ir jāsaprot kompromisi, kas viņiem būs jāveic. Šī politika arī nedrīkst būt pretrunā ar citiem organizācijas reglamentējošiem dokumentiem. Šī publikācija mēģina sniegt tehniskajiem profesionāļiem informāciju, kas viņiem būs jāpaskaidro interneta politikas veidotājiem. Tajā ir ietverts iepriekšējs politikas dizains, uz kura pamata var pieņemt konkrētus tehniskus lēmumus.
Internets ir svarīgs resurss, kas ir mainījis veidu, kā darbojas daudzi cilvēki un organizācijas. Tomēr internets cieš no nopietnām un plaši izplatītām drošības problēmām. Uzbrucēji uzbrukuši daudzām organizācijām vai izmeklējušas daudzas organizācijas, kā rezultātā tās cieta smagus finansiālus zaudējumus un zaudēja savu prestižu. Dažos gadījumos organizācijas bija spiestas uz laiku atvienoties no interneta un iztērēja ievērojamas naudas summas, lai novērstu problēmas ar resursdatora un tīkla konfigurācijām. Vietnes, kuras nezina vai ignorē šīs problēmas, pakļaujas ļaunprātīgu dalībnieku tiešsaistes uzbrukuma riskam. Pat tās vietnes, kurās ir ieviesti drošības pasākumi, ir pakļautas tādām pašām briesmām, jo ​​tīkla programmās parādās jaunas ievainojamības un daži uzbrucēji ir noturīgi.
Galvenā problēma ir tā, ka internets nebija izveidots kā drošs tīkls. Dažas tās problēmas pašreizējā TCP/IP versijā ir šādas:
Vienkārša datu pārtveršana un iekārtu adrešu viltošana tīklā – lielākā daļa interneta trafika ir nešifrēti dati. E-pastus, paroles un failus var pārtvert, izmantojot viegli pieejamas programmas.
TCP/IP rīku ievainojamība — vairāki TCP/IP rīki nav izstrādāti tā, lai tie būtu droši, un tos var apdraudēt prasmīgi uzbrucēji; testēšanai izmantotie rīki ir īpaši neaizsargāti.
Politikas trūkums - daudzas vietnes ir neapzināti konfigurētas tā, ka tās nodrošina plašu piekļuvi sev no interneta, neņemot vērā šīs piekļuves ļaunprātīgas izmantošanas iespēju; Daudzas vietnes nodrošina vairāk TCP/IP pakalpojumu, nekā nepieciešams, lai tās darbotos, un nemēģina ierobežot piekļuvi informācijai par saviem datoriem, kas varētu palīdzēt uzbrucējiem.
Grūti konfigurēt — resursdatora piekļuves vadīklas ir sarežģītas; Bieži vien ir grūti pareizi konfigurēt un pārbaudīt instalāciju efektivitāti. Kļūdas dēļ nepareizi konfigurēti rīki var izraisīt nesankcionētu piekļuvi.

Izmantotās literatūras saraksts
1. Materiāli no informācijas tehnoloģiju servera - http://www. citforum.ru
2. Kas ir e-komercija? V. Zavaļejevs, Informācijas tehnoloģiju centrs. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovičs A.A., Tsarevs V.V. Mācību grāmatas augstskolām: Elektroniskā komercija 2002, 320 lpp.

| Uz publikāciju sarakstu

Tirdzniecības uzņēmumu, mazumtirdzniecības tīklu un to infrastruktūras informācijas drošības nodrošināšana

Pašreizējās tendences tirdzniecības attīstībā Krievijā noved pie uzņēmumu konsolidācijas, palielinot uzņēmumu skaitu to sastāvā, konsolidējot dažādu operatoru aktīvus, veicot apvienošanos un pārņemšanu, kā arī izveidojot tīkla izplatīšanas centrus. Līdz ar to pieaug prasības informācijas tehnoloģijām un to nozīme tirdzniecības organizēšanā. Informācijas plūsmu apstrāde jebkurā uzņēmumā prasa lielu ātrumu un absolūtu precizitāti.

1. att. Galvenās informācijas plūsmas, kas cirkulē tīkla uzņēmuma vadības sistēmā

Mūsdienīga veikala, vairumtirdzniecības uzņēmuma un izplatīšanas tīkla vadīšana ietver automatizētu sistēmu izmantošanu integrētai tirdzniecībai, noliktavai un grāmatvedībai. Mūsdienās vadītāji pieņem vadības lēmumus, pamatojoties uz datiem, kas iegūti no informācijas sistēmām. Tādējādi, neatkarīgi no uzņēmuma struktūras, līgumu uzskaite, krājumu kustības, kases un grāmatvedības uzskaite ir jāveic vienotā informācijas telpā.

Lai automatizētu tirdzniecības procesa vadību, uzņēmumā tiek izveidota informācijas sistēma, kas var ietvert:

- iekšējā uzskaites un atskaites sistēma (satur datus par preču ražošanas un aprites apjomu, struktūru un ātrumu, uzņēmuma izmaksām un zaudējumiem, bruto ienākumiem, tīro peļņu, rentabilitāti u.c.);
- mārketinga informācijas sistēma (ļauj izsekot pašreizējam stāvoklim, tendencēm un tirgus attīstības perspektīvām). Šo informācijas sistēmu var definēt arī kā izlūkošanas sistēmu, jo tā nodrošina datu vākšanu, apstrādi un analīzi par konkurentu darbībām.

Dati informācijas sistēmā nonāk no uzņēmuma personāla un izplatītāju biroju sistēmām. Nākotnē tos izmantos uzņēmuma operatīvai vadībai, visa uzņēmuma, reģionālo biroju un izplatītāju darbības kontrolei un analīzei. Informācijas tīkla datu patērētāji ir uzņēmuma un izplatītāju uzņēmumu vadītāji un vadītāji. 1. un 2. attēlā parādītas galvenās informācijas plūsmas, kas cirkulē tirdzniecības uzņēmuma vadības sistēmā (tirdzniecības tīkls), norādot to galvenos avotus un patērētājus.

Lai pieņemtu stratēģiskus vadības lēmumus, uzņēmuma vadītājam, finanšu direktoram, galvenajam grāmatvedim un augstākajiem vadītājiem obligāti ir jāsniedz pilnīgs priekšstats par uzņēmuma stāvokli un tā attīstības tendencēm (1. att.).

Darba vietās grāmatvedībā, tirdzniecības telpā, noliktavā strādnieki nodarbojas tikai ar atsevišķiem vispārējās informācijas plūsmas fragmentiem. Viņu uzdevumi un funkcijas parasti attiecas uz preču saņemšanas un patēriņa apstrādi un uzskaiti, rēķinu izrakstīšanu, darbu ar kases aparātu utt. (2. att.).

Ņemot vērā tirdzniecības uzņēmumu riskus un informācijas sistēmu ievainojamību, šķiet bezatbildīga pieeja, kurā uzņēmums reaģē uz notikumiem pēc tam, t.i. pēc tam, kad tie notiek. No tā izriet, ka uzņēmumam ir jāizveido informācijas drošības sistēma. Tas ir viens no galvenajiem vadības sistēmas elementiem.

Informācijas sistēmas darbības pārtraukšana var radīt neatgriezeniskas sekas uzņēmumam. Tādējādi saskaņā ar apdrošināšanas kompānijas Gerling teikto, ja informācijas sistēma tiek pilnībā apturēta, tirdzniecības uzņēmumi var pastāvēt tikai 2,5 dienas, un ražošanas uzņēmumiem bez nepārtraukta ražošanas cikla šis skaitlis ir 5 dienas.

Sākotnējiem datiem efektīvas informācijas drošības sistēmas izveidei jābūt skaidrām idejām par tās mērķiem un struktūru, draudu veidiem un to avotiem, kā arī iespējamiem pretpasākumiem.

Draudu avoti var būt ārēji un iekšēji.

2. att. Datu apmaiņas sistēma mazumtirdzniecības uzņēmuma vai mazumtirdzniecības ķēdes dažādu nodaļu darbiniekiem

Ārējie draudi visbiežāk nāk no konkurentiem, noziedzīgām grupām un korumpētām amatpersonām juridiskajās un administratīvajās iestādēs. Ārējo apdraudējumu darbības var būt vērstas uz pasīviem datu nesējiem, informācijas izņemšanu apmaiņas procesa laikā, informācijas iznīcināšanu vai tās datu nesēju sabojāšanu. Draudi var būt vērsti pret uzņēmuma darbiniekiem un izpausties kā kukuļņemšana, draudi, šantāža, informācijas izspiešana, lai iegūtu informāciju, kas veido komercnoslēpumu, vai vadošo speciālistu aizvilināšana utt.

Iekšējie draudi rada vislielākās briesmas. Tie var nākt no nekompetentiem vadītājiem, negodīgiem un nekvalificētiem darbiniekiem, piesavinātājiem un krāpniekiem, kā arī novecojušiem ražošanas līdzekļiem. Atsevišķi darbinieki ar augstu pašcieņas līmeni neapmierinātības ar savām ambīcijām (algas līmenis, attiecības ar vadību, kolēģiem utt.) dēļ var proaktīvi sniegt konkurentiem komerciālu informāciju, mēģināt iznīcināt svarīgu informāciju vai pasīvos medijus, piemēram, ieviest datorvīrusu.

Informācijas resursu bojājumus var izraisīt:

nesankcionētas piekļuves un konfidenciālas informācijas noņemšanas īstenošana;
darbinieku uzpirkšana, lai piekļūtu konfidenciālai informācijai vai informācijas sistēmai;
pārtverot sakaru un datoru iekārtās un sistēmās cirkulējošo informāciju, izmantojot tehniskos izlūkošanas un informācijas vākšanas līdzekļus;
noklausoties konfidenciālas sarunas, kas notiek biroja telpās, dienesta un personiskajos transportlīdzekļos, dzīvokļos un namiņās;
caur pārrunu procesiem, izmantojot neuzmanīgu rīcību ar informāciju;

Galvenie informācijas avoti ir: cilvēki, dokumenti, publikācijas, tehniskie mediji, tehniskie līdzekļi, produkti un atkritumi.

Galvenie veidi, kā iegūt neatļautu informāciju, ir:

- konfidenciālas informācijas izpaušana;
- nesankcionēta piekļuve informācijas resursiem;
- konfidenciālas informācijas noplūde uzņēmuma darbinieku vainas dēļ.

Informācijas drošības nodrošināšanas pasākumu veikšanas problēmas nozīmīgumu var ilustrēt ar šādiem piemēriem:

1. Federālā operatora drošības dienests katru mēnesi atklāj no diviem līdz sešiem incidentiem, kas saistīti ar informācijas drošības pārkāpumiem.
2. Hipermārketā jauna meitene tika “apgaismota” par programmas nepilnībām kases termināļu savienošanai pārī lokālajā tīklā. Krāpšanas rezultātā kundze trīs mēnešu laikā “nopelnīja” 900 000 rubļu.
3. Jauns kasieris veica izmaiņas kases programmā un mēneša laikā nodarīja uzņēmumam zaudējumus aptuveni 200 000 rubļu apmērā. Sistēmas administrators nesankcionētas piekļuves faktu atklājis tikai izmeklēšanas laikā divus mēnešus pēc kasieres atlaišanas.

Tādējādi uzņēmumu vadītājiem ir jāsaprot informācijas drošības nozīme un jāiemācās paredzēt un vadīt nākotnes tendences. Efektīvai drošības sistēmu darbībai jābūt visa uzņēmuma galvenajai prioritātei.

Galvenie informācijas aizsardzības virzieni:

- tiesiskā aizsardzība ietver: Krievijas Federācijas tiesību aktus, savus normatīvos dokumentus, tai skaitā: noteikumus par konfidenciālas informācijas saglabāšanu, komercnoslēpumu veidojošās informācijas sarakstu, norādījumus par kārtību, kādā darbinieki var piekļūt konfidenciālai informācijai, noteikumus par biroja darbu. un dokumentu apriti, darbinieka neizpaušanas pienākumu konfidenciālu informāciju, atgādinājumu darbiniekam par komercnoslēpuma saglabāšanu u.c.;
- organizatoriskā aizsardzība ietver režīma administratīvos un organizatoriskos pasākumus. Tie ietver: drošības dienesta organizēšanu, iekšējās un piekļuves kontroles organizēšanu, darba organizēšanu ar darbiniekiem par komercnoslēpumu veidojošas informācijas neizpaušanu, darba organizēšanu ar dokumentiem, darba organizēšanu pie ārējo un iekšējo apdraudējumu analīzes. utt.
- inženiertehniskā aizsardzība – ietver dažādu tehnisku, elektronisku un programmatūras rīku izmantošanu, kas paredzēti informācijas aizsardzībai.

Informācijas drošības programmas ieviešana jāveic, pamatojoties uz drošības sistēmu un rīku integrētu izmantošanu, pamatojoties uz pieņēmumu, ka nav iespējams nodrošināt nepieciešamo drošības līmeni, izmantojot tikai vienu atsevišķu rīku vai pasākumu, vai vienkāršu kombināciju. no viņiem. Viņu sistēmiskā koordinācija ir nepieciešama. Šajā gadījumā jebkura apdraudējuma īstenošana var ietekmēt aizsargājamo objektu tikai tad, ja tiek pārvarēti visi aizsardzības līmeņi.

Jebkuras e-komercijas sistēmas drošība kopumā slēpjas aizsardzībā pret dažāda veida traucējumiem tās datos. Visas šīs iejaukšanās var iedalīt vairākās kategorijās:

· datu zādzība (piemēram, kredītkaršu numuru zādzība no datu bāzes);

· traucējumi (piemēram, vietnes datu pārslodze, kas nav paredzēta tik lielam informācijas apjomam);

· datu sagrozīšana (piemēram, summu mainīšana maksājumu un rēķinu failos vai neesošu sertifikātu vai vietņu izveidošana informācijas pārsūknēšanai uz konkrētu vietni);

· datu iznīcināšana (piemēram, pārsūtīšanas laikā no vietnes vai uz vietni no lietotāja);

· veikto darbību atteikums (piemēram, no pasūtījuma veikšanas vai preces saņemšanas fakta);

· bona fide lietotājs netīši ļaunprātīgi izmanto vietnes iekārtas;

· nesankcionēta piekļuve informācijai:

· datu neatļautu kopēšanu, atjaunināšanu vai citādu izmantošanu;

· nesankcionēti darījumi;

· datu nesankcionēta apskate vai pārsūtīšana (piemēram, čatā vai forumā iesauku vietā parādot apmeklētāju īstos vārdus).

Vienlaikus nevar neņemt vērā, ka drošības jautājumos šajā jomā pastāv virkne objektīvu juridiska rakstura problēmu - tehnoloģijas attīstās daudz ātrāk nekā likumdošanas bāze, grūti notvert uzbrucēju. nozieguma aktu, un pierādījumus un noziegumu pēdas var viegli iznīcināt bez pēdām. Tas viss liek uzņēmumiem rūpīgi izstrādāt savu elektroniskās uzņēmējdarbības aizsardzības politiku. Pilnīga un absolūta drošība nav sasniedzama, jo e-biznesa sistēmas ir veidotas, izmantojot dažādas jau gatavas un pielāgotas programmatūras lietojumprogrammas no dažādiem piegādātājiem un ievērojamu skaitu ārējo pakalpojumu, ko nodrošina pakalpojumu sniedzēji vai biznesa partneri. Ievērojama daļa no šiem komponentiem un pakalpojumiem klienta uzņēmuma IT speciālistiem parasti ir nepārskatāmi, turklāt daudzus no tiem bieži modificē un uzlabo to veidotāji. Nav iespējams rūpīgi pārbaudīt visus iespējamos drošības defektus, un vēl grūtāk ir novērst visus šos defektus. Un pat ja tas būtu iespējams, nevar izslēgt tā saukto cilvēcisko faktoru, jo visas sistēmas rada, maina un pārvalda cilvēki, un saskaņā ar Datoru drošības institūta pētījumu 81% aptaujāto atzīmēja, ka lielākās bažas par uzņēmumiem. ir iekšējais apdraudējums – savu darbinieku apzināta vai neapzināta rīcība.

Aizsardzības pret iekšējiem apdraudējumiem problēmai ir divi aspekti: tehniskais un organizatoriskais. Tehniskais aspekts ir vēlme novērst jebkādu nesankcionētas piekļuves iespēju informācijai. Šim nolūkam tiek izmantoti tādi labi zināmi līdzekļi kā:

paroļu uzturēšana un regulāra maiņa; nodrošināt sistēmas administrēšanai nepieciešamās minimālās tiesības;

Standarta procedūru pieejamība savlaicīgai piekļuves grupas maiņai personāla maiņas laikā vai tūlītējai piekļuves iznīcināšanai pēc darbinieka atlaišanas.

Organizatoriskais aspekts ir izstrādāt racionālu iekšējās drošības politiku, kas pārvēršas ikdienišķās operācijās, piemēram, reti izmantotās uzņēmumu hakeru uzbrukumu aizsardzības un novēršanas metodes:

· vispārējās drošības kultūras ieviešana uzņēmumā;

· programmatūras testēšana uzlaušanai;

· izsekot katram uzlaušanas mēģinājumam (neatkarīgi no tā, cik veiksmīgi tas ir) un rūpīgi izmeklēt to;

· ikgadējas personāla apmācības par drošības un kibernoziedzības jautājumiem, tostarp informāciju par konkrētām hakeru uzbrukumu pazīmēm, lai maksimāli palielinātu to darbinieku skaitu, kuriem ir iespēja atklāt šādas darbības;

· skaidru procedūru ieviešana netīšu informācijas maiņas vai iznīcināšanas gadījumos.

Lai aizsargātu pret ārēju ielaušanos, mūsdienās ir daudz sistēmu, kas būtībā ir dažāda veida filtri, kas palīdz identificēt uzlaušanas mēģinājumus agrīnā stadijā un, ja iespējams, neļauj uzbrucējam iekļūt sistēmā caur ārējiem tīkliem.

· maršrutētāji - tīkla trafika pārvaldības ierīces, kas atrodas starp otrās kārtas tīkliem un pārvalda tam pievienoto tīkla segmentu ienākošo un izejošo trafiku;

· ugunsmūri - līdzekļi privāto tīklu izolēšanai no publiskajiem tīkliem, izmantojot programmatūru, kas uzrauga un nomāc ārējos uzbrukumus vietnei, izmantojot noteiktu pieprasījumu veidu kontroli;

lietojumprogrammu vārtejas ir līdzeklis, ar kuru tīkla administrators ievieš drošības politiku, kas vada maršrutētājus, kas veic pakešu filtrēšanu;

· Ielaušanās atklāšanas sistēmas (IDS) – sistēmas, kas konstatē tīšus uzbrukumus un lietotāju netīšu sistēmas resursu ļaunprātīgu izmantošanu;

· drošības novērtēšanas rīki (speciālie skeneri u.c.) - programmas, kas regulāri skenē tīklu, lai konstatētu problēmas un pārbauda īstenotās drošības politikas efektivitāti.

Kopumā uzņēmumam pirmais, kas būtu jādara, ir izdomāt, kas un no kā ir jāaizsargā. Galvenie spēlētāji šajā jomā ir uzņēmuma akcionāri, patērētāji, darbinieki un biznesa partneri, un katram no viņiem ir jāizstrādā sava aizsardzības shēma. Visām drošības prasībām jābūt dokumentētām, lai tās kalpotu kā vadlīnijas visām e-komercijas lietojumprogrammu ieviešanām un to drošības pasākumiem dažādās uzņēmuma darbības jomās. Turklāt tas ļaus izveidot atsevišķu budžetu drošības problēmu apkalpošanai uzņēmuma iekšienē un optimizēt izmaksas šīm vajadzībām, novēršot jebkādu drošības jautājumu dublēšanos, izstrādājot katru individuālo biznesa projektu.

Diemžēl šodienas prakse ir tāda, ka drošības politika tiek atstāta IT nodaļas vadības ziņā, kuras darbinieki uzskata, ka tehnoloģiskie jautājumi ir svarīgāki par kaut kādām “papīra” instrukcijām, turklāt nav speciālisti atsevišķās darbības jomās. kas arī prasa skaidras aizsardzības procedūras uzņēmumā.

Turklāt, savienojot pārī dažādu programmatūru, var rasties specifiskas problēmas, kuras nav zināmas katra integrētā produkta ražotājiem. Šādas mijiedarbības izpēte jāveic pirms jebkādu tehnoloģisku un budžeta lēmumu pieņemšanas. Un līdz šim tam ir pievērsts pārāk maz uzmanības.

Pastāv vairāki e-komercijas draudu veidi:

Iekļūšana sistēmā no ārpuses.

Neatļauta piekļuve uzņēmuma iekšienē.

Apzināta informācijas pārtveršana un lasīšana.

Tīša datu vai tīklu pārtraukšana.

Nepareiza (krāpnieciskiem nolūkiem) lietotāja identifikācija.

Datorurķēšanas aparatūras un programmatūras aizsardzība.

Neatļauta lietotāja piekļuve no viena tīkla uz otru.

Vīrusu uzbrukumi.

Pakalpojuma atteikums.

Finanšu krāpšana.

Lai cīnītos pret šiem draudiem, tiek izmantotas vairākas metodes, kuru pamatā ir dažādas tehnoloģijas, proti: šifrēšana – datu kodēšana, kas neļauj tos nolasīt vai sagrozīt; ciparparaksti, kas pārbauda sūtītāja un saņēmēja identitāti; slepenas tehnoloģijas, izmantojot elektroniskās atslēgas; ugunsmūri; virtuālie un privātie tīkli.

Neviena aizsardzības metode nav universāla, piemēram, ugunsmūri nepārbauda vīrusus un nespēj nodrošināt datu integritāti. Nav absolūti uzticama veida, kā novērst automātiskās aizsardzības uzlaušanu, un tas ir tikai laika jautājums, kad tā tiks uzlauzta. Bet laiks, kas nepieciešams šādas aizsardzības pārrāvumam, savukārt ir atkarīgs no tā kvalitātes. Jāteic, ka programmatūra un aparatūra savienojumu un aplikāciju aizsardzībai internetā ir izstrādāta jau sen, lai gan jaunas tehnoloģijas tiek ieviestas nedaudz nevienmērīgi.

Kādi draudi sagaida uzņēmumu, kas veic e-komerciju katrā posmā:

Elektroniskā veikala servera mājas lapas aizstāšana (pieprasījumu pāradresācija uz citu serveri), informācijas par klientu, īpaši par viņa kredītkartēm, pieejamības nodrošināšana trešajām personām;

Nepatiesu pasūtījumu veidošana un dažāda veida krāpšanās no elektroniskā veikala darbinieku puses, piemēram, manipulācijas ar datu bāzēm (statistika liecina, ka vairāk nekā puse datoru incidentu ir saistīti ar viņu pašu darbinieku darbībām);

E-komercijas tīklos pārraidīto datu pārtveršana;

Uzbrucēju iekļūšana uzņēmuma iekšējā tīklā un elektroniskā veikala komponentu kompromitēšana;

Pakalpojuma atteikuma uzbrukumu īstenošana un e-komercijas mezgla darbības traucējumi vai atspējošana.

Šādu apdraudējumu īstenošanas rezultātā uzņēmums zaudē klientu uzticību, zaudē naudu no potenciāliem un/vai nepilnīgiem darījumiem, tiek traucēta elektroniskā veikala darbība, kā arī tērē laiku, naudu un cilvēkresursus funkcionēšanas atjaunošanai.

Protams, ar internetā pārraidītās informācijas pārtveršanu saistītie draudi attiecas ne tikai uz e-komercijas nozari. Saistībā ar pēdējo īpaši svarīgi ir tas, ka tā sistēmās ir ietverta ekonomiski nozīmīga informācija: kredītkaršu numuri, kontu numuri, līgumu saturs utt.

1. E-komercijas nodrošināšana

Drošības nodrošināšana ir ne tikai veiksmīgas elektroniskās uzņēmējdarbības nepieciešams nosacījums, bet arī pamats uzticamām attiecībām starp darījuma partneriem. E-biznesa būtība ir saistīta ar aktīvu informācijas apmaiņu un darījumiem, izmantojot neaizsargātu publisko tīklu, kas vienkārši nav iespējams bez uzticamām attiecībām starp biznesa vienībām. Tāpēc drošības nodrošināšana ir sarežģīta, ietverot tādus uzdevumus kā piekļuve tīmekļa serveriem un tīmekļa lietojumprogrammām, lietotāju autentifikācija un autorizācija, datu integritātes un konfidencialitātes nodrošināšana, elektronisko ciparparakstu ieviešana utt.

Pieaugot interneta komercializācijai, arvien lielāka uzmanība tiek pievērsta tīklā pārraidītās informācijas aizsardzībai. Specializētie protokoli, kas paredzēti drošas mijiedarbības organizēšanai, izmantojot internetu (piemēram, SET, SOCKS5, SSL, SHTTP u.c.), ir guvuši plašu atzinību visā pasaulē, un tos veiksmīgi izmanto ārvalstu izstrādātāji, lai izveidotu interneta banku un tirdzniecības elektroniskās sistēmas.

Ārzemēs e-biznesa informācijas drošības problēmu risina neatkarīgs konsorcijs - Internet Security Task Force (ISTF) - sabiedriska organizācija, kas sastāv no informācijas drošības rīku, e-biznesa un interneta pakalpojumu uzņēmumu pārstāvjiem un ekspertiem. pakalpojumu sniedzēji.

ISTF identificē divpadsmit informācijas drošības jomas, kurām būtu jāpievērš galvenā uzmanība. e-biznesa organizatori:

Mehānisms identificējošas informācijas objektīvai apstiprināšanai;

Tiesības uz personisku, privātu informāciju;

Drošības notikumu definēšana;

Korporatīvā perimetra aizsardzība;

Uzbrukumu definīcija;

potenciāli u1086 bīstama satura kontrole;

Piekļuves kontrole;

Administrācija;

Reakcija uz notikumiem.

Ir zināms, ka elektroniskā digitālā paraksta (EDS) algoritmu izmantošana ļauj droši aizsargāties pret daudziem apdraudējumiem, taču tas ir taisnība tikai tad, ja šie algoritmi ir ieausti pamatotos mijiedarbības protokolos, juridiski korektā attiecību struktūrā un loģiski noslēgtā veidā. uzticības sistēma.

Informācijas drošība balstās uz vienkāršu digitālā paraksta aprēķināšanas un pārbaudīšanas ar atbilstošo atslēgu pāri procesu loģiku, tomēr loģikas pamatā ir fundamentāli matemātiski pētījumi. Ciparparakstu var aprēķināt tikai privātās atslēgas īpašnieks, un ikviens, kuram ir privātajai atslēgai atbilstošā publiskā atslēga, var to pārbaudīt.

Protams, informācijas drošības nodrošināšanā būtu jāiesaista šīs jomas speciālisti, taču valsts iestāžu, uzņēmumu un iestāžu vadītājiem neatkarīgi no to īpašuma formas, kuri ir atbildīgi par atsevišķu saimniecisko vienību ekonomisko drošību, šie jautājumi pastāvīgi jātur savās rokās. viņu redzes lauks. Viņiem tālāk ir norādīti galvenie funkcionālie komponenti visaptverošas informācijas drošības sistēmas organizēšanai:

Sakaru protokoli;

Kriptogrāfijas rīki;

Piekļuves kontroles rīki darbstacijām no publiskajiem tīkliem;

Pretvīrusu kompleksi;

Uzbrukumu noteikšanas un audita programmas;

Rīki centralizētai lietotāju piekļuves kontroles pārvaldībai, kā arī jebkuras lietojumprogrammas datu pakešu un ziņojumu drošai apmaiņai atklātos tīklos.

Internetā jau sen ir vairākas komitejas, galvenokārt brīvprātīgo organizācijas, kas rūpīgi virza piedāvātās tehnoloģijas standartizācijas procesā. Šīs komitejas, kas veido lielāko daļu no Internet Engineering Task Force (IETF), ir standartizējušas vairākus svarīgus protokolus, paātrinot to pieņemšanu internetā.

Tādi protokoli kā TCP/IP saime datu sakariem, SMTP (Vienkāršais pasta transporta protokols) un POP (Pasta biroja protokols) e-pastam un SNMP (Vienkāršais tīkla pārvaldības protokols) tīkla pārvaldībai ir tiešie IETF centienu rezultāti. Izmantotā drošības produkta veids ir atkarīgs no uzņēmuma vajadzībām.

Internetā populāri ir droši datu pārraides protokoli, proti, SSL, SET, IP v.6. Uzskaitītie protokoli internetā parādījās salīdzinoši nesen, kā nepieciešamība aizsargāt vērtīgu informāciju, un uzreiz kļuva par de facto standartiem.

Diemžēl Krievijā viņi joprojām ir ļoti piesardzīgi pret iespēju ieviest internetu tajās darbības jomās, kas saistītas ar

konfidenciālas informācijas pārsūtīšana, apstrāde un uzglabāšana. Līdzīgi

Piesardzība skaidrojama ne tikai ar pašmāju finanšu struktūru konservatīvismu, kas baidās no interneta atvērtības un pieejamības, bet daļēji ar to, ka lielākā daļa Rietumu ražošanas uzņēmumu informācijas drošības programmatūras mūsu tirgū ienāk ar eksporta ierobežojumiem attiecībā uz. tajos ieviestie kriptogrāfiskie algoritmi. Piemēram, programmatūras eksporta versijās WWW serveriem un pārlūkprogrammām no tādiem ražotājiem kā Microsoft un Netscape Communications ir noteikti atslēgas garuma ierobežojumi vienas atslēgas un dubultās atslēgas šifrēšanas algoritmiem, ko izmanto SSL protokols, un tas nenodrošina pilnīgu. aizsardzība, strādājot internetā.

Tomēr e-komercijas lietojumprogrammas papildus iekšējiem draudiem ir uzņēmīgas arī pret ārējiem draudiem, kas rodas no interneta. Un tā kā ir neracionāli katram anonīmajam apmeklētājam piešķirt atsevišķu pieteikšanās ID (tā kā lietojumprogramma neaug), uzņēmumiem ir jāizmanto cita veida autentifikācija. Turklāt ir nepieciešams sagatavot serverus uzbrukumu atvairīšanai. Visbeidzot, jums jābūt īpaši uzmanīgiem ar sensitīviem datiem, piemēram, kredītkaršu numuriem.

Datu šifrēšana

Uzņēmuma vietne apstrādā sensitīvu informāciju (piemēram, patēriņa kredītkaršu numurus). Šādas informācijas pārsūtīšana internetā bez jebkādas aizsardzības var radīt neatgriezeniskas sekas. Ikviens var noklausīties pārraidi un tādējādi piekļūt konfidenciālai informācijai. Tāpēc dati ir jāšifrē un jāpārsūta pa drošu kanālu. Lai ieviestu drošu datu pārsūtīšanu, tiek izmantots Secure Sockets Layer (SSL) protokols.

Lai ieviestu šo funkcionalitāti, jums ir jāiegādājas ciparsertifikāts un jāinstalē tas savā serverī(-os). Jūs varat pieteikties digitālajam sertifikātam kādā no sertifikācijas iestādēm. Labi pazīstamās komerciālās sertifikācijas organizācijas ir: VerySign, CyberTrust, GTE.

SSL ir shēma tādiem protokoliem kā HTTP (drošības gadījumā to sauc par HTTPS), FTP un NNTP. Izmantojot SSL datu pārsūtīšanai:

Dati ir šifrēti;

Ir izveidots drošs savienojums starp avota serveri un mērķa serveri;

Servera autentifikācija ir iespējota.

Kad lietotājs iesniedz kredītkartes numuru, izmantojot SSL, dati tiek nekavējoties šifrēti, lai hakeris nevarētu redzēt to saturu. SSL ir neatkarīgs no tīkla protokola.

Netscape servera programmatūra nodrošina arī autentifikāciju — sertifikātus un ciparparakstus —, kas apliecina lietotāja identitāti un ziņojuma integritāti un nodrošina, ka ziņojums nav mainījis savu maršrutu.

Autentifikācija ietver lietotāja identitātes apstiprināšanu un ciparparakstu, lai pārbaudītu informācijas apmaiņā un finanšu darījumos iesaistīto dokumentu autentiskumu. Ciparparaksts ir dati, kurus var pievienot dokumentam, lai novērstu viltošanu.

Ielaušanās noteikšana

Ielaušanās noteikšanas sistēmas (IDS) var identificēt uzbrukumu modeļus vai pēdas un radīt trauksmes signālus

brīdina operatorus un mudina maršrutētājus pārtraukt savienojumus ar nelegālas ielaušanās avotiem. Šīs sistēmas var arī novērst mēģinājumus izraisīt pakalpojuma atteikumu.

Darba apraksts

Šī darba mērķis ir izpētīt e-komercijas jēdzienu un aplūkot e-komercijas informācijas drošības jautājumus.
Uzdevumi:
- definēt e-komerciju;
- apsvērt tā galvenos elementus, veidus, pozitīvos un negatīvos aspektus;
- apsvērt galvenos draudu veidus un galvenos veidus, kā nodrošināt e-komercijas drošību.

Elektroniskās komercijas informācijas drošība (EK)

Interneta lietotāju skaits ir sasniedzis vairākus simtus miljonu, un ir parādījusies jauna kvalitāte “virtuālās ekonomikas” formā. Tajā pirkumi tiek veikti, izmantojot iepirkšanās vietnes, izmantojot jaunus biznesa modeļus, savu mārketinga stratēģiju utt.

Elektroniskā komercija (EK) ir komerciāla darbība preču pārdošanai internetā. Parasti ir divas EK formas:

* tirdzniecība starp uzņēmumiem (business to business, B2B);

* tirdzniecība starp uzņēmumiem un privātpersonām, t.i. patērētāji (bizness patērētājam, B2C).

EK ir radījusi tādus jaunus jēdzienus kā:

* Elektroniskais veikals – vitrīnas un tirdzniecības sistēmas, kuras izmanto ražotāji vai tirgotāji, kad ir pieprasījums pēc precēm.

* Elektroniskais katalogs – ar lielu dažādu ražotāju preču sortimentu.

* Elektroniskā izsole ir klasiskas izsoles analogs, izmantojot interneta tehnoloģijas, ar raksturīgu savienojumu ar multivides interfeisu, interneta piekļuves kanālu un produkta funkciju attēlojumu.

* Elektroniskais universālveikals ir parastā universālveikala analogs, kurā parasti uzņēmumi izstāda savas preces ar efektīvu preču zīmolu (Gostiny Dvor, GUM utt.).

* Virtuālās kopienas (communities), kurās pircējus organizē interešu grupas (fanu klubi, biedrības u.c.).

Internets EK jomā sniedz ievērojamas priekšrocības:

* ietaupījumi lielajiem privātajiem uzņēmumiem no izejvielu un komponentu iepirkumu pārcelšanas uz interneta biržām sasniedz 25 - 30%;

* piedalīšanās konkurējošo piegādātāju izsolē no visas pasaules reāllaikā noved pie to ieprogrammēto preču piegādes vai pakalpojumu cenu samazināšanās;

* preču vai pakalpojumu cenu pieaugums pircēju no visas pasaules konkurences rezultātā;

* ietaupījums, samazinot nepieciešamo darbinieku skaitu un dokumentu kārtošanas apjomu.

Par dominējošo stāvokli EK Rietumvalstīs kļuvis B2B sektors, kas līdz 2007. gadam pēc dažādām aplēsēm sasniegs no 3 līdz 6 triljoniem. dolāru. Pirmie, kas guva labumu no sava biznesa pārcelšanas uz internetu, bija uzņēmumi, kas pārdod aparatūru un programmatūru un sniedza datoru un telekomunikāciju pakalpojumus.

Katrs interneta veikals ietver divus galvenos sastāvdaļas:

elektroniskā veikala un tirdzniecības sistēma.

Elektroniskā veikala mājaslapa satur informāciju par Vietnē pārdotajām precēm, nodrošina piekļuvi veikala datubāzei, reģistrē klientus, strādā ar pircēja elektronisko “grozu”, veic pasūtījumus, apkopo mārketinga informāciju un pārsūta informāciju tirdzniecības sistēmai.

Tirdzniecības sistēma piegādā preces un apstrādā samaksu par tām. Tirdzniecības sistēma ir veikalu kopums, kas pieder dažādiem uzņēmumiem, kuri īrē vietu Web serverī, kas pieder atsevišķam uzņēmumam.

Interneta veikala darbības tehnoloģija sekojoši:

Pircējs izvēlas vajadzīgo preci elektroniskā veikalā ar preču un cenu katalogu (tīmekļa vietne) un aizpilda veidlapu ar personas datiem (pilns vārds, pasta un e-pasta adrese, vēlamais piegādes un apmaksas veids). Ja maksājums tiek veikts ar interneta starpniecību, tad īpaša uzmanība tiek pievērsta informācijas drošībai.

Pabeigto preču pārsūtīšana uz interneta veikala tirdzniecības sistēmu,

kur pasūtījums ir izpildīts. Tirdzniecības sistēma darbojas manuāli vai automātiski. Manuālā sistēma darbojas pēc Posyltorg principa, kad nav iespējams iegādāties un uzstādīt automatizētu sistēmu, kā likums, ja preču apjoms ir mazs.

Preču piegāde un apmaksa. Preces tiek piegādātas pircējam

vienā no iespējamiem veidiem:

* veikala kurjers pilsētas un apkārtnes robežās;

* specializēts kurjerpakalpojums (arī no ārvalstīm);

* pacelt;

* šāda specifiska informācija tiek piegādāta, izmantojot telekomunikāciju tīklus

produkts kā informācija.

Apmaksu par precēm var veikt šādos veidos:

* iepriekšēja vai preces saņemšanas brīdī;

* skaidru naudu kurjeram vai apmeklējot īstu veikalu;

* ar pasta pārskaitījumu;

* Bankas darījums;

* ar pēcmaksu;

* izmantojot kredītkartes (VISA, MASTER CARD u.c.);

izmantojot elektroniskās maksājumu sistēmas, izmantojot atsevišķus komerciālus

bankas (TELEBANKA, ASSIST u.c.).

Pēdējā laikā pasaulē diezgan strauji attīstās e-komercija jeb tirdzniecība ar interneta starpniecību. Protams, šis process

tiešā veidā piedaloties finanšu iestādēm. Un šī tirdzniecības metode kļūst arvien populārāka, vismaz tur, kur jauno elektronisko tirgu var izmantot liela daļa uzņēmumu un iedzīvotāju.

Komercdarbības elektroniskajos tīklos atceļ dažus fiziskus ierobežojumus. Uzņēmumi, kas savieno savas datorsistēmas ar

Internets, spēj sniegt klientiem atbalstu 24 stundas diennaktī bez brīvdienām un brīvdienām. Preču pasūtījumus var pieņemt jebkurā laikā no jebkuras vietas.

Tomēr šai “monētai” ir arī otra puse. Ārzemēs, kur e-komercija ir visplašāk attīstīta, darījumi vai preču izmaksas bieži vien ir ierobežotas līdz 300-400 USD. Tas ir saistīts ar nepietiekamu informācijas drošības problēmu risinājumu datortīklos. Pēc ANO Noziedzības novēršanas un kontroles komitejas domām, datornoziedzība ir sasniegusi vienas no starptautiskajām problēmām līmeni. Amerikas Savienotajās Valstīs šāda veida noziedzīgās darbības ir trešajā vietā pēc ienesīguma pēc ieroču un narkotiku kontrabandas.

Globālā e-komercijas apgrozījuma apjoms internetā 2006.g.

Saskaņā ar Forrester Tech. prognozēm, tas varētu svārstīties no 1,8 līdz 2 triljoniem. dolāru.Tik plašu prognožu diapazonu nosaka e-komercijas ekonomiskās drošības nodrošināšanas problēma. Ja drošības līmenis saglabāsies pašreizējā līmenī, globālais e-komercijas apgrozījums var būt vēl mazāks. No tā izriet, ka tieši e-komercijas sistēmas zemā drošība ir ierobežojošs faktors e-biznesa attīstībā.

E-komercijas ekonomiskās drošības nodrošināšanas problēmas risināšana primāri ir saistīta ar tajā izmantoto informācijas tehnoloģiju aizsardzības jautājumu risināšanu, tas ir, informācijas drošības nodrošināšanu.

Biznesa procesu integrācija interneta vidē noved pie fundamentālām drošības situācijas izmaiņām. Tiesību un pienākumu veidošana, pamatojoties uz elektronisku dokumentu, prasa visaptverošu aizsardzību pret visu apdraudējumu loku gan dokumenta sūtītājam, gan tā saņēmējam. Diemžēl e-komercijas uzņēmumu vadītāji pienācīgi apzinās informācijas apdraudējumu nopietnību un savu resursu aizsardzības organizēšanas nozīmi tikai pēc tam, kad tie ir pakļauti informācijas uzbrukumiem. Kā redzat, visi uzskaitītie šķēršļi attiecas uz informācijas drošības jomu.

Pamatprasības komercdarījumu veikšanai ietver konfidencialitāti, integritāti, autentifikāciju, autorizāciju, garantijas un slepenību.

Panākot informācijas drošību, nodrošinot tās pieejamību, ir svarīga konfidencialitāte, integritāte un juridiskā nozīme pamata uzdevumus . Katrs apdraudējums ir jāapsver, ņemot vērā to, kā tas varētu ietekmēt šīs četras drošās informācijas īpašības vai īpašības.

Konfidencialitāte nozīmē, ka ierobežotas pieejamības informācijai jābūt pieejamai tikai tiem, kam tā ir paredzēta. Zem integritāte informācija tiek saprasta kā tās eksistences īpašība neizkropļotā formā. Pieejamība informāciju nosaka sistēmas spēja nodrošināt savlaicīgu, netraucētu piekļuvi informācijai subjektiem, kuriem ir atbilstošas ​​pilnvaras to darīt. Juridiskā nozīme informācija ir kļuvusi svarīga pēdējā laikā, līdz ar informācijas drošības normatīvā regulējuma izveidi mūsu valstī.

Ja pirmās četras prasības var izpildīt ar tehniskiem līdzekļiem, tad pēdējo divu īstenošana ir atkarīga gan no tehniskajiem līdzekļiem, gan personu un organizāciju atbildības, kā arī no likumu ievērošanas, kas pasargā patērētājus no iespējamās pārdevēju krāpšanas.

Kā daļa no visaptverošas informācijas drošības nodrošināšanas, pirmkārt, ir jāizceļ atslēga problēmas elektroniskās drošības jomā Bizness kas ietver:

informācijas aizsardzība tās pārraidīšanas laikā pa sakaru kanāliem; datorsistēmu, datu bāzu un elektronisko dokumentu pārvaldības aizsardzība;

ilgstošas ​​informācijas uzglabāšanas nodrošināšana elektroniskā formā; darījumu drošības nodrošināšana, komerciālās informācijas konfidencialitāte, autentifikācija, intelektuālā īpašuma aizsardzība utt.

Pastāv vairāki e-komercijas draudu veidi:

 Iekļūšana sistēmā no ārpuses.

 Nesankcionēta piekļuve uzņēmuma iekšienē.

 Tīša informācijas pārtveršana un lasīšana.

 Tīša datu vai tīklu pārtraukšana.

 Nepareiza (krāpnieciskiem nolūkiem) identifikācija

lietotājs.

 Programmatūras un aparatūras aizsardzības uzlaušana.

 Neatļauta lietotāja piekļuve no viena tīkla uz otru.

 Vīrusu uzbrukumi.

 Pakalpojuma atteikums.

 Finanšu krāpšana.

Lai cīnītos pret šiem draudiem, tiek izmantotas vairākas metodes, kuru pamatā ir dažādas tehnoloģijas, proti: šifrēšana – datu kodēšana, kas neļauj tos nolasīt vai sagrozīt; ciparparaksti, kas pārbauda sūtītāja un saņēmēja identitāti; slepenas tehnoloģijas, izmantojot elektroniskās atslēgas; ugunsmūri; virtuālie un privātie tīkli.

Neviena aizsardzības metode nav universāla, piemēram, ugunsmūri nepārbauda vīrusus un nespēj nodrošināt datu integritāti. Nav absolūti uzticama veida, kā novērst automātiskās aizsardzības uzlaušanu, un tas ir tikai laika jautājums, kad tā tiks uzlauzta. Bet laiks, kas nepieciešams šādas aizsardzības pārrāvumam, savukārt ir atkarīgs no tā kvalitātes. Jāteic, ka programmatūra un aparatūra savienojumu un aplikāciju aizsardzībai internetā ir izstrādāta jau sen, lai gan jaunas tehnoloģijas tiek ieviestas nedaudz nevienmērīgi.

Kuras draudiem gaida e-komercijas uzņēmumu katrā posmā :

 elektroniskā veikala servera mājas lapas aizstāšana (pieprasījumu pāradresācija uz citu serveri), padarot informāciju par klientu, īpaši par viņa kredītkartēm, pieejamu trešajām personām;

 viltotu pasūtījumu veidošana un dažāda veida krāpšanās no elektroniskā veikala darbinieku puses, piemēram, manipulācijas ar datu bāzēm (statistika liecina, ka vairāk nekā puse datoru incidentu ir saistīti ar viņu pašu darbinieku darbībām);

 e-komercijas tīklos pārraidīto datu pārtveršana;

 uzbrucēju iekļūšana uzņēmuma iekšējā tīklā un elektroniskā veikala komponentu kompromitēšana;