Informačná bezpečnosť v systémoch elektronického obchodu. „Bezpečnosť elektronického obchodu. Hlavné smery ochrany informácií

Úvod……………………………………………………………………………….. 3
1.Elektronický obchod a história jeho vývoja……………………………….. ..5
1.1. História elektronického obchodu………………………………………………………....6
2. Bezpečnosť elektronického obchodu………………………………………..8
2.1. Riziká a hrozby……………………………………………………….…… ...11
Záver……………………………………………………………………………….. 17
Zoznam referencií………………………………………………………………... 20

Úvod

Globálny internet sprístupnil elektronický obchod spoločnostiam akejkoľvek veľkosti. Ak si predtým organizácia elektronickej výmeny údajov vyžadovala značné investície do komunikačnej infraštruktúry a bola realizovateľná len pre veľké spoločnosti, potom používanie internetu dnes umožňuje malým firmám vstúpiť do radov „elektronických obchodníkov“. Elektronický obchod na World Wide Web dáva každej spoločnosti príležitosť prilákať zákazníkov z celého sveta. Takýto on-line obchod tvorí nový predajný kanál – „virtuálny“, ktorý si nevyžaduje takmer žiadne materiálne investície. Ak je možné informácie, služby alebo produkty (napríklad softvér) doručiť cez web, potom celý proces predaja (vrátane platby) môže prebiehať online.
Definícia elektronického obchodu zahŕňa nielen internetovo orientované systémy, ale aj „elektronické obchody“, ktoré využívajú iné komunikačné prostredia – BBS, VAN atď. Zároveň predajné postupy iniciované informáciami z WWW, ktoré však využívajú na výmenu údajov fax, telefón atď., možno len čiastočne klasifikovať ako elektronický obchod. Poznamenávame tiež, že napriek tomu, že WWW je technologickým základom elektronického obchodu, množstvo systémov využíva aj iné komunikačné možnosti. Požiadavky predávajúceho na upresnenie parametrov produktu alebo zadanie objednávky je teda možné zasielať aj e-mailom.
Dnes sú dominantným platobným prostriedkom za online nákupy kreditné karty. Na scénu však vstupujú aj nové platobné nástroje: čipové karty, digitálna hotovosť, mikroplatby a elektronické šeky.
Elektronický obchod nezahŕňa len transakcie online. Oblasť pokrytá týmto konceptom musí zahŕňať aj také činnosti, ako je vykonávanie marketingového výskumu, identifikácia príležitostí a partnerov, udržiavanie vzťahov s dodávateľmi a spotrebiteľmi, organizovanie toku dokumentov atď. Elektronický obchod je teda komplexný pojem a zahŕňa elektronickú výmenu údajov ako jeden komponentov.

Elektronický obchod a história jeho vývoja

Elektronický obchod je druh hospodárskej činnosti na propagáciu tovaru a služieb od výrobcov k spotrebiteľom prostredníctvom elektronických počítačových sietí. Inými slovami, elektronický obchod je marketing, akvizícia a predaj tovaru a služieb prostredníctvom počítačových sietí, najmä internetu. Elektronický obchod poskytuje nové príležitosti na zlepšenie efektívnosti komerčných aktivít vo všeobecnosti.
Na rozdiel od tradičného obchodu ponúka elektronický obchod spoločnostiam tieto príležitosti:
A) Predávajte svoje produkty cez internet;
B) Rozvíjať a koordinovať vzťahy so spotrebiteľmi a dodávateľmi;
B) elektronická výmena tovaru a služieb;
D) Znížte cenu dodávky digitálnych produktov a popredajnú zákaznícku podporu;
D) rýchlo reagovať na zmeny na trhu;
E) Znížiť režijné náklady;
G) Zlepšite služby zákazníkom a predstavte svoje vlastné služby pre zákazníkov;
H) Rozšíriť okruh spotrebiteľov;
I) Zohľadňovať individuálne potreby kupujúceho;
Elektronický obchod umožňuje kupujúcim:
A) Nakupujte tovar kedykoľvek a kdekoľvek;
B) Vykonať porovnávaciu analýzu cien a vybrať tú najlepšiu;
C) Získajte simultánny prístup k širokej škále produktov;
D) Vyberte si vhodné mechanizmy na nákupy;
D) Dostávajte informácie a novinky v závislosti od vašich preferencií.
1.1 História elektronického obchodu

Prvé systémy elektronického obchodu sa objavili v 60. rokoch minulého storočia v USA. Používali sa v dopravných spoločnostiach na výmenu dát medzi rôznymi službami pri príprave letov a pri rezervácii leteniek.
Spočiatku sa takýto obchod uskutočňoval pomocou sietí mimo internetu, pričom sa používali špeciálne štandardy na elektronickú výmenu údajov medzi organizáciami.
Koncom 60. rokov minulého storočia existovali v Spojených štátoch štyri priemyselné štandardy na výmenu údajov medzi rôznymi dopravnými spoločnosťami. Na spojenie týchto noriem bol v roku 1968 vytvorený špeciálny výbor pre harmonizáciu prepravných údajov. výsledky práce tvorili základ nového štandardu EDI.
V 70. rokoch sa podobné udalosti odohrali v Anglicku. V tejto krajine nebola hlavnou oblasťou aplikácie EDI doprava, ale obchod. Tu vybraný súbor špecifikácií Tradacoms bol prijatý Európskou hospodárskou komisiou OSN ako štandard pre výmenu údajov v medzinárodných obchodných organizáciách.
V 80. rokoch sa začali práce spájať európske a americké štandardy. Výsledkom tejto práce bolo, že na 42. zasadnutí Pracovnej skupiny pre uľahčenie medzinárodného obchodu v septembri 1996 bolo prijaté odporúčanie č.
Teda. Začiatkom 90. rokov sa objavil štandard EDI-FACT a bol prijatý ISO (ISO 9735).
Ale konečné spojenie amerických a európskych noriem sa nestalo. Pre elektronickú výmenu údajov sa objavila nová, perspektívnejšia príležitosť – výmena údajov cez internet.
Rozvoj internetu s nízkymi nákladmi na prenos dát spôsobil, že modernizácia EDI systémov je naliehavá. Výsledkom bolo, že v polovici 90-tych rokov bol vyvinutý ďalší štandard – EDIFACT over Internet (EDIINT), ktorý popisuje, ako preniesť transakciu EDI pomocou bezpečných e-mailových protokolov SMTP/S-MIME.
Pre vznik a rast popularity elektronického obchodu existuje množstvo demografických a technologických predpokladov, ako napríklad:
a) široký prístup k informačným technológiám, najmä počítačom a internetu;
b) zvyšovanie úrovne vzdelania spoločnosti a následne voľnejšie narábanie s technikou;
c) technologický pokrok a digitálna revolúcia umožnili vzájomnú interakciu mnohých digitálnych zariadení, ako je počítač, mobilný telefón atď.;
d) globalizácia, otvorená ekonomika, hospodárska súťaž v celosvetovom meradle;
e) dostupnosť elektronického obchodu komukoľvek, kedykoľvek a na akomkoľvek mieste.
f) túžba ušetriť čas;
g) rast sortimentu tovarov a služieb, zvyšujúci sa dopyt po špeciálnych tovaroch a službách.

Bezpečnosť elektronického obchodu.

Jedným z hlavných problémov elektronického obchodu v súčasnosti zostáva problém bezpečnosti, t.j. minimalizácia rizík a ochrana informácií.
Dôvody narušenia bežného fungovania spoločnosti na internete môžu byť: počítačové vírusy, podvody vedúce k finančným stratám; krádež dôverných informácií; nezákonné zasahovanie do súborov s dôvernými informáciami o spotrebiteľoch a pod.
Stupeň ochrany webovej stránky elektronickej spoločnosti závisí od úrovne dôvernosti jej informácií a potreby ich dodržiavania. Ak sú teda napríklad na webovej stránke zadané čísla kreditných kariet, potom je potrebné zabezpečiť najvyšší stupeň ochrany webového servera.
Úlohy udržiavania bezpečnosti v elektronickom obchode spočívajú v autentifikácii užívateľa, zachovávaní dôvernosti a integrity informácií: autentifikácia – kontrola pravosti užívateľa; dôvernosť – zabezpečenie uchovania súkromných informácií poskytnutých používateľom; integrita informácií – absencia skreslení prenášaných informácií.
Hackeri a vírusy môžu predstavovať hrozbu pre integritu informácií na webovom serveri.
Hacker prenikne do slabo chránených počítačov a serverov a nainštaluje špeciálne programy - neviditeľné, ktoré je dosť ťažké odhaliť. Takýto neviditeľný program zvyčajne nepoškodzuje webovú stránku, ale vytvára veľké preťaženie siete. Hacker určí cieľ svojho útoku a aktivuje predinštalovaný program, ktorý odošle príkaz cez internet niekoľkým počítačom. Tým sa začína útok, ktorý preťaží sieť komerčného podniku.
Ďalším vážnym typom narušenia bezpečnosti počítačov a serverov na internete je vírus. Vírusy narúšajú integritu systému a zavádzajú opatrenia na zabezpečenie informácií. Najlepším prostriedkom na ochranu pred vírusmi je inštalácia a pravidelná aktualizácia antivírusových programov, ako aj používanie brán firewall. Firewall je filter nainštalovaný medzi podnikovou sieťou a internetom na ochranu informácií a súborov pred neoprávneným prístupom a na umožnenie prístupu iba oprávneným osobám. Firewall teda zabraňuje prenikaniu počítačových vírusov a hackerov do podnikovej siete a chráni ju pred vonkajšími vplyvmi pri pripojení na internet.
Pri implementácii elektronického obchodu je jednou z najdôležitejších otázok dôvernosť informácií. Informácie poskytnuté používateľom spoločnosti musia byť spoľahlivo chránené. Jedným zo spôsobov, ako zabezpečiť bezpečný a dôverný prenos dát po počítačových sieťach, je kryptografia, t.j. šifrovanie alebo kódovanie údajov tak, aby ich mohli čítať iba strany zapojené do konkrétnej transakcie.
Pri šifrovaní odosielateľ správy konvertuje text na sadu znakov, ktoré nie je možné prečítať bez použitia špeciálneho kľúča známeho príjemcovi. Kľúčom k šifre je postupnosť znakov uložená na pevnom disku počítača alebo na diskete. Stupeň bezpečnosti informácií závisí od šifrovacieho algoritmu a dĺžky kľúča, meranej v bitoch.
Existujú dva typy šifrovacích algoritmov:

symetrický, v ktorom sa na šifrovanie aj dešifrovanie informácií používa rovnaký kľúč známy obom stranám;
asymetrický, v ktorom sa používajú dva kľúče, jeden na šifrovanie a druhý na dešifrovanie. Jeden z týchto kľúčov je súkromný (tajný), druhý je otvorený (verejný).

Jednou z najznámejších a najsľubnejších metód autentifikácie odosielateľa správ je elektronický digitálny podpis (EDS) – elektronický ekvivalent vlastnoručného podpisu. Prvý digitálny podpis navrhol v roku 1976 Whitfield Diffie zo Stanfordskej univerzity. Federálny zákon Ruskej federácie „o elektronickom digitálnom podpise“ uvádza, že elektronický digitálny podpis je nevyhnutným predpokladom elektronického dokumentu určeného na ochranu tohto dokumentu pred falšovaním, získaného v dôsledku kryptografickej transformácie informácií pomocou súkromného kľúča elektronického digitálny podpis a umožňujúci identifikovať vlastníka certifikátu podpisového kľúča a tiež preukázať absenciu skreslenia informácií v elektronickom dokumente.
Proces aplikácie elektronického digitálneho podpisu je nasledujúci:
1. odosielateľ vytvorí správu a zašifruje ju svojim súkromným kľúčom, ktorý je zároveň elektronickým digitálnym podpisom odosielateľa. V tomto prípade je zašifrovaný text samotnej komunikácie aj digitálny podpis pripojený na konci dokumentu.
2. odosielateľ odovzdá zašifrovaný list a svoj verejný kľúč prostredníctvom komunikačných kanálov príjemcovi;
3. Príjemca dešifruje správu pomocou verejného kľúča odosielateľa.
4. Spolu s digitálnym podpisom sa zvyčajne používa niektorá z existujúcich Hash funkcií. Funkcia HASH pri spracovaní správy vytvára reťazec znakov, ktorý sa nazýva súhrn správy. Odosielateľ vytvorí sumár správy, zašifruje ju a tiež ju prepošle príjemcovi. Príjemca spracuje správu rovnakou HASH funkciou a dostane aj súhrn správy. Ak sa oba súhrny správ zhodujú, správa bola prijatá bez poškodenia.
5. Digitálne certifikáty sa používajú na potvrdenie vlastníctva verejného kľúča konkrétnej osobe alebo obchodnej spoločnosti. Digitálny certifikát je dokument vydaný certifikačnou autoritou na potvrdenie identity konkrétnej osoby alebo podniku overením jej mena a verejného kľúča. Ak chcete získať digitálny certifikát, musíte kontaktovať certifikačné centrum a poskytnúť potrebné informácie. Každá certifikačná autorita si stanovuje vlastné ceny a spravidla vydáva digitálny certifikát na rok s možnosťou obnovenia po zaplatení na ďalší rok.
Na riešenie bezpečnostných problémov spoločnosti elektronického obchodu používajú technológie SSL a SET.
Protokol SSL je hlavný protokol používaný na ochranu údajov prenášaných cez internet. Tento protokol je založený na kombinácii asymetrických a symetrických šifrovacích algoritmov. Poskytuje tri hlavné funkcie: overenie servera, overenie klienta a šifrované pripojenie SSL.
Protokol SET je protokol používaný na transakcie medzi komerčnými bankami a zákazníkmi kreditných kariet.

Riziká a hrozby

Akékoľvek podnikanie je spojené s rizikami vyplývajúcimi z konkurencie, krádeží, nestability verejných preferencií, prírodných katastrof atď. Riziká spojené s elektronickým obchodom však majú svoje vlastné charakteristiky a zdroje, vrátane:
Zlodeji.
Neschopnosť prilákať spoločníkov.
Poruchy zariadení.
Porucha napájania, komunikačných liniek alebo siete.
Závislosť na doručovacích službách.
Intenzívna konkurencia.
Softvérové ​​chyby.
Zmeny v politike a zdaňovaní.
Obmedzená kapacita systému.

Zlodeji
Najpopulárnejšia hrozba pre elektronický obchod pochádza od počítačových hackerov. Každý podnik je vystavený hrozbe útoku zločincov a veľké podniky elektronického obchodu priťahujú pozornosť počítačových hackerov rôznych úrovní zručností.
Dôvody tejto pozornosti sú rôzne. V niektorých prípadoch ide len o „čistý športový záujem“, v iných o túžbu ublížiť, ukradnúť peniaze alebo kúpiť produkt či službu zadarmo.
Bezpečnosť lokality je zabezpečená kombináciou nasledujúcich opatrení:
Zálohujte si dôležité informácie.
Personálna politika, ktorá vám umožní pritiahnuť do práce iba svedomitých ľudí a podporiť svedomitosť zamestnancov. Najnebezpečnejšie pokusy o hackerstvo pochádzajú z vnútra spoločnosti.
Používanie softvéru s možnosťami ochrany údajov a jeho včasná aktualizácia.
Školenie personálu na identifikáciu cieľov a rozpoznávanie systémových slabín.
Auditovanie a protokolovanie na zistenie úspešných a neúspešných pokusov o hackovanie.
Hackovanie je zvyčajne úspešné vďaka ľahko uhádnuteľným heslám, bežným chybám v konfigurácii a neschopnosti aktualizovať verzie softvéru včas. Aby ste sa ochránili pred nie príliš sofistikovaným zlodejom, stačí urobiť pomerne jednoduché opatrenia. Ako posledná možnosť by vždy mala existovať záložná kópia dôležitých údajov.

Neschopnosť prilákať spoločníkov
Zatiaľ čo útoky hackerov sú najväčším problémom, väčšina zlyhaní elektronického obchodu stále pramení z tradičných ekonomických faktorov. Vytvorenie a marketing veľkej stránky elektronického obchodu si vyžaduje veľa peňazí. Spoločnosti uprednostňujú krátkodobé investície, ktoré ponúkajú okamžitý rast zákazníkov a výnosov, keď sa značka etabluje na trhu.
Kolaps elektronického obchodu viedol k krachu mnohých spoločností, ktoré sa špecializovali len naň.

Poruchy zariadení
Je celkom zrejmé, že výpadok dôležitej časti jedného z počítačov spoločnosti, ktorej aktivity sú zamerané na internet, môže spôsobiť jej značné škody.
Ochrana pred výpadkami pre lokality, ktoré pracujú vo vysokej záťaži alebo vykonávajú dôležité funkcie, je zabezpečená duplicitou, takže porucha žiadneho komponentu neovplyvní funkčnosť celého systému. Aj tu je však potrebné vyhodnotiť straty z prípadných prestojov v porovnaní s nákladmi na nákup doplnkových zariadení.
Množstvo počítačov so systémom Apache, PHP a MySQL sa dá pomerne ľahko nastaviť. Replikačný engine MySQL navyše umožňuje všeobecnú synchronizáciu informácií medzi databázami. Veľký počet počítačov však znamená aj vysoké náklady na údržbu zariadení, sieťovej infraštruktúry a hostingu.
Porucha napájania, komunikačných liniek, siete a doručovacej služby
Závislosť na internete znamená závislosť na mnohých prepojených poskytovateľoch služieb, takže ak sa náhle pokazí spojenie so zvyškom sveta, nezostáva nič iné, len čakať na jeho obnovenie. To isté platí pre výpadky prúdu a štrajky alebo iné výpadky prúdu a štrajky alebo iné poruchy doručovacej spoločnosti.
Ak máte dostatočný rozpočet, môžete sa dohodnúť s viacerými poskytovateľmi služieb. To so sebou prináša dodatočné náklady, ale zabezpečuje neprerušovanú prevádzku v prípade poruchy jedného z nich. Extrémne výpadky prúdu je možné chrániť inštaláciou neprerušiteľných zdrojov napájania.

Intenzívna konkurencia
Ak si otvoríte kiosk na ulici, posúdenie konkurenčného prostredia nie je nijak zvlášť náročné – konkurentmi budú všetci, ktorí na dohľad predáva rovnaký produkt. V prípade elektronického obchodu je situácia o niečo zložitejšia.
V závislosti od nákladov na dopravu, menových výkyvov a rozdielov v nákladoch na prácu sa konkurenti môžu nachádzať kdekoľvek. Internet je vysoko konkurenčné a rýchlo sa rozvíjajúce prostredie. V populárnych obchodných sektoroch sa takmer denne objavujú noví konkurenti.
Riziko hospodárskej súťaže je ťažké posúdiť. Tu je najsprávnejšou stratégiou podpora súčasnej úrovne technológie.

Softvérové ​​chyby
Keď je podnik závislý od softvéru, je zraniteľný voči chybám v tomto softvéri.

Pravdepodobnosť kritických porúch možno minimalizovať inštaláciou spoľahlivého softvéru, testovaním po každej výmene chybného hardvéru a použitím formálnych testovacích postupov. Všetky inovácie systému je veľmi dôležité sprevádzať dôkladným testovaním.
Ak chcete znížiť škody spôsobené zlyhaniami softvéru, mali by ste okamžite zálohovať všetky údaje. Pri vykonávaní akýchkoľvek zmien musíte uložiť predchádzajúce konfigurácie programu. Na rýchle zistenie možných porúch je potrebné neustále monitorovanie systému.

Zmeny v daňovej politike
V mnohých krajinách nie sú činnosti elektronického podnikania definované alebo nie sú dostatočne definované zákonom. Tento stav však nemôže trvať večne a vyriešenie problému povedie k množstvu problémov, ktoré by mohli viesť k zatvoreniu niektorých podnikov. Okrem toho vždy existuje nebezpečenstvo vyšších daní.
Týmto problémom sa nedá vyhnúť. V tejto situácii by bolo jediným rozumným postupom pozorne sledovať situáciu a uviesť činnosť podniku do súladu so zákonom. Mala by sa preskúmať aj možnosť lobovania za svoje vlastné záujmy.

Obmedzená kapacita systému
Vo fáze návrhu systému by ste mali určite zvážiť možnosť jeho rastu. Úspech je neoddeliteľne spojený so záťažou, takže systém musí počítať s rozširovaním vybavenia.
Obmedzené zvýšenie výkonu možno dosiahnuť výmenou hardvéru, ale rýchlosť aj toho najpokročilejšieho počítača má svoje hranice, takže softvér musí poskytovať možnosť rozložiť záťaž medzi viacero systémov, keď sa dosiahne stanovený limit. Napríklad systém správy databáz musí byť schopný spracovať požiadavky z viacerých počítačov súčasne.
Rozšírenie systému nie je bezbolestné, ale včasné plánovanie vo fáze vývoja vám umožňuje predvídať mnohé problémy spojené s nárastom počtu klientov a predchádzať im vopred.

Záver
Hoci pripojenie na internet poskytuje obrovské výhody vďaka prístupu ku kolosálnemu množstvu informácií, je nebezpečné aj pre stránky s nízkou úrovňou zabezpečenia. Internet trpí vážnymi bezpečnostnými problémami, ktoré, ak sa ignorujú, môžu znamenať katastrofu pre nepripravené stránky. Chyby v návrhu TCP/IP, zložitosť administrácie hostiteľa, zraniteľnosti v programoch a množstvo ďalších faktorov spolu robia nechránené stránky zraniteľnými voči akciám útočníkov.
Aby organizácie správne zvážili bezpečnostné dôsledky internetového pripojenia, musia odpovedať na nasledujúce otázky:
Môžu hackeri zničiť interné systémy?
Mohli by byť dôležité informácie organizácie ohrozené (upravené alebo prečítané) počas prenosu cez internet?
Je možné zasahovať do práce organizácie?
To všetko sú dôležité otázky. Existuje mnoho technických riešení na boj s hlavnými problémami internetovej bezpečnosti. Všetky však majú svoju cenu. Mnohé riešenia obmedzujú funkčnosť s cieľom zvýšiť bezpečnosť. Iné vyžadujú výrazné kompromisy týkajúce sa jednoduchosti používania internetu. Iné si vyžadujú investovanie značných zdrojov – pracovný čas na implementáciu a udržiavanie bezpečnosti a peniaze na nákup a údržbu zariadení a programov.
Účelom internetovej bezpečnostnej politiky je rozhodnúť, ako sa bude organizácia chrániť. Politika sa zvyčajne skladá z dvoch častí – všeobecných princípov a špecifických prevádzkových pravidiel (ktoré sú ekvivalentné špecifickej politike opísanej nižšie). Všeobecné princípy riadia prístup k internetovej bezpečnosti. Pravidlá určujú, čo je dovolené a čo je zakázané. Pravidlá môžu byť doplnené o špecifické postupy a rôzne usmernenia.
Je pravda, že existuje aj tretí typ politiky, ktorý sa objavuje v literatúre o internetovej bezpečnosti. Toto je technický prístup. V tejto publikácii bude technický prístup chápaný ako analýza, ktorá pomáha implementovať princípy a pravidlá politiky. Vo všeobecnosti je príliš technický a zložitý na to, aby ho manažment organizácie pochopil. Preto sa nemôže používať tak široko ako politika. Vyžaduje sa však pri opise možných riešení, identifikácii kompromisov, ktoré sú nevyhnutným prvkom pri opise politiky.
Aby boli internetové politiky účinné, tvorcovia politík musia pochopiť kompromisy, ktoré budú musieť urobiť. Táto politika tiež nesmie byť v rozpore s inými riadiacimi dokumentmi organizácie. Táto publikácia sa pokúša poskytnúť technickým odborníkom informácie, ktoré budú musieť vysvetliť tvorcom internetovej politiky. Obsahuje predbežný návrh politiky, na základe ktorej sa potom môžu robiť konkrétne technické rozhodnutia.
Internet je dôležitým zdrojom, ktorý zmenil spôsob fungovania mnohých ľudí a organizácií. Internet však trpí vážnymi a rozšírenými bezpečnostnými problémami. Mnoho organizácií bolo napadnutých alebo skúmaných útočníkmi, čím utrpeli veľké finančné straty a stratili svoju prestíž. V niektorých prípadoch boli organizácie nútené dočasne sa odpojiť od internetu a minuli značné množstvo peňazí na riešenie problémov s konfiguráciou hostiteľa a siete. Stránky, ktoré si tieto problémy neuvedomujú alebo ich ignorujú, sa vystavujú riziku online útoku zo strany škodlivých aktérov. Dokonca aj stránky, ktoré zaviedli bezpečnostné opatrenia, sú vystavené rovnakým nebezpečenstvám v dôsledku objavenia sa nových zraniteľností v sieťových programoch a pretrvávania niektorých útočníkov.
Základným problémom je, že internet nebol navrhnutý ako bezpečná sieť. Niektoré z jeho problémov v aktuálnej verzii TCP/IP sú:
Jednoduchosť zachytávania údajov a falšovania adries strojov v sieti – väčšinu internetovej prevádzky tvoria nešifrované údaje. E-maily, heslá a súbory je možné zachytiť pomocou ľahko dostupných programov.
Zraniteľnosť nástrojov TCP/IP – mnohé nástroje TCP/IP neboli navrhnuté tak, aby boli bezpečné a skúsení útočníci ich môžu ohroziť; nástroje používané na testovanie sú obzvlášť zraniteľné.
Nedostatok politiky - mnohé stránky sú nevedomky nakonfigurované tak, že poskytujú široký prístup k sebe z internetu bez toho, aby sa zohľadnila možnosť zneužitia tohto prístupu; Mnohé lokality povoľujú viac služieb TCP/IP, než potrebujú na prevádzku, a nepokúšajú sa obmedziť prístup k informáciám o ich počítačoch, ktoré by mohli pomôcť útočníkom.
Je ťažké konfigurovať – riadenie prístupu hostiteľa je zložité; Často je ťažké správne nakonfigurovať a overiť účinnosť inštalácií. Nástroje, ktoré sú omylom nesprávne nakonfigurované, môžu viesť k neoprávnenému prístupu.

Zoznam použitej literatúry
1. Materiály zo servera informačných technológií - http://www. citforum.ru
2. Čo je to elektronický obchod? V. Zavalejev, Centrum informačných technológií. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovič A.A., Carev V.V. Učebnice pre vysoké školy: Elektronický obchod 2002, 320 strán.

| Do zoznamu publikácií

Zabezpečovanie informačnej bezpečnosti obchodných podnikov, maloobchodných sietí a ich infraštruktúry

Súčasné trendy vo vývoji obchodu v Rusku vedú ku konsolidácii spoločností zvyšovaním počtu podnikov v ich zložení, konsolidáciou aktív rôznych operátorov, uskutočňovaním fúzií a akvizícií a vytváraním sieťových distribučných centier. V dôsledku toho rastú požiadavky na informačné technológie a ich význam pri organizovaní obchodu. Spracovanie informačných tokov v každej spoločnosti si vyžaduje vysokú rýchlosť a absolútnu presnosť.

Obr.1. Hlavné informačné toky cirkulujúce v systéme riadenia sieťovej spoločnosti

Riadenie modernej predajne, veľkoobchodu a distribučnej siete zahŕňa použitie automatizovaných systémov pre integrovaný obchod, sklad a účtovníctvo. Manažéri dnes robia manažérske rozhodnutia na základe údajov získaných z informačných systémov. Bez ohľadu na štruktúru spoločnosti sa teda účtovanie zmlúv, pohybu zásob, hotovosti a účtovníctva musí vykonávať v jednom informačnom priestore.

Za účelom automatizácie riadenia obchodného procesu je v podniku vytvorený informačný systém, ktorý môže zahŕňať:

- interný systém účtovníctva a výkazníctva (obsahuje údaje o objeme, štruktúre a rýchlosti výroby a obehu tovaru, nákladoch a stratách podniku, hrubých príjmoch, čistom zisku, ziskovosti a pod.);
- marketingový informačný systém (umožňuje sledovať aktuálny stav, trendy a perspektívy vývoja trhu). Tento informačný systém možno definovať aj ako spravodajský systém, pretože zabezpečuje zber, spracovanie a analýzu údajov o činnosti konkurentov.

Údaje do informačného systému pochádzajú od zamestnancov spoločnosti a z kancelárskych systémov distribútorov. V budúcnosti slúžia na operatívne riadenie podniku, kontrolu a analýzu činnosti spoločnosti ako celku, regionálnych kancelárií a distribútorov. Spotrebiteľmi údajov informačnej siete sú manažéri a vedúci pracovníci spoločnosti a distribučných spoločností. Obrázky 1 a 2 znázorňujú hlavné informačné toky cirkulujúce v systéme riadenia obchodného podniku (obchodná sieť), pričom zobrazujú ich hlavné zdroje a spotrebiteľov.

Pre strategické manažérske rozhodnutia je nevyhnutné, aby vedúci podniku, finančný riaditeľ, hlavný účtovník a senior manažéri predložili úplný obraz o stave podniku a jeho vývojových trendoch (obr. 1).

Na pracoviskách v účtovníctve, na predajni, v sklade sa pracovníci zaoberajú len jednotlivými fragmentmi všeobecného informačného toku. Ich úlohy a funkcie sa spravidla týkajú spracovania a evidencie príjmu a spotreby tovaru, vystavovania faktúr, práce na pokladni atď. (obr. 2.).

Vzhľadom na riziká obchodných podnikov a zraniteľnosť informačných systémov sa javí nezodpovedné zaujať taký prístup, akým spoločnosť reaguje na udalosti až po udalosti, t.j. potom, čo sa stanú. Z toho vyplýva, že podnik musí vytvoriť systém informačnej bezpečnosti. Je to jeden z hlavných prvkov riadiaceho systému.

Zastavenie prevádzky informačného systému môže mať pre podnikanie nezvratné následky. Podľa poisťovne Gerling tak ak je informačný systém úplne zastavený, obchodné spoločnosti môžu existovať len 2,5 dňa, a pre výrobné podniky bez nepretržitého výrobného cyklu je toto číslo 5 dní.

Prvotnými údajmi pre vytvorenie efektívneho systému informačnej bezpečnosti by mali byť jasné predstavy o jeho cieľoch a štruktúre, typoch hrozieb a ich zdrojoch a možných protiopatreniach.

Zdroje ohrozenia môžu byť vonkajšie a vnútorné.

Obr.2. Systém výmeny dát pre zamestnancov rôznych oddelení maloobchodného podniku alebo obchodného reťazca

Vonkajšie hrozby najčastejšie pochádzajú od konkurentov, zločineckých skupín a skorumpovaných úradníkov v rámci právnych a správnych orgánov. Akcie vonkajších hrozieb môžu byť zamerané na pasívne pamäťové médiá, odstránenie informácií počas procesu výmeny, zničenie informácií alebo poškodenie ich pamäťových médií. Hrozby môžu byť namierené voči zamestnancom spoločnosti a môžu byť vyjadrené vo forme úplatku, vyhrážok, vydierania, vydierania informácií s cieľom získať informácie predstavujúce obchodné tajomstvo, alebo môžu zahŕňať odlákanie popredných špecialistov atď.

Vnútorné hrozby predstavujú najväčšie nebezpečenstvo. Môžu pochádzať od nekompetentných manažérov, bezohľadného a nekvalifikovaného personálu, defraudantov a podvodníkov a zastaraných výrobných prostriedkov. Jednotliví zamestnanci s vysokou mierou sebaúcty z dôvodu nespokojnosti so svojimi ambíciami (výška platu, vzťahy s vedením, kolegami atď.) môžu proaktívne rozdávať komerčné informácie konkurencii, snažiť sa ničiť dôležité informácie alebo pasívne médiá, napr. napríklad zaviesť počítačový vírus.

Poškodenie informačných zdrojov môže byť spôsobené:

vykonávanie neoprávneného prístupu a odstraňovania dôverných informácií;
podplácanie zamestnancov s cieľom získať prístup k dôverným informáciám alebo informačnému systému;
zachytávaním informácií cirkulujúcich v komunikačných a počítačových zariadeniach a systémoch pomocou technických prostriedkov prieskumu a zhromažďovania informácií;
odpočúvaním dôverných rozhovorov prebiehajúcich v kancelárskych priestoroch, služobných a osobných vozidlách, v bytoch a chatách;
prostredníctvom vyjednávacích procesov, neopatrným zaobchádzaním s informáciami;

Hlavnými zdrojmi informácií sú:ľudia, dokumenty, publikácie, technické médiá, technické prostriedky, výrobky a odpady.

Hlavné spôsoby, ako získať neoprávnené informácie, sú:

- zverejnenie dôverných informácií;
- neoprávnený prístup k informačným zdrojom;
- únik dôverných informácií vinou zamestnancov spoločnosti.

Relevantnosť problému prijímania opatrení na zaistenie informačnej bezpečnosti možno ilustrovať na nasledujúcich príkladoch:

1. Bezpečnostná služba federálneho operátora každý mesiac zistí dva až šesť incidentov súvisiacich s porušením informačnej bezpečnosti.
2. V hypermarkete sa mladému dievčaťu „posvietili“ na nedostatky programu na párovanie pokladničných terminálov cez lokálnu sieť. V dôsledku podvodu si dáma za tri mesiace „zarobila“ 900 000 rubľov.
3. Mladý pokladník vykonal zmeny v hotovostnom programe a za mesiac spôsobil podniku škodu vo výške asi 200 000 rubľov. Správca systému zistil skutočnosť neoprávneného prístupu až pri vyšetrovaní dva mesiace po prepustení pokladníka.

Vedúci pracovníci preto musia pochopiť dôležitosť informačnej bezpečnosti a naučiť sa predvídať a riadiť budúce trendy. Efektívna prevádzka bezpečnostných systémov by mala byť najvyššou prioritou celého podniku.

Hlavné oblasti ochrany informácií:

- právna ochrana zahŕňa: Legislatíva Ruskej federácie, jej vlastné regulačné dokumenty vrátane: predpisov o uchovaní dôverných informácií, zoznamu informácií tvoriacich obchodné tajomstvo, pokynov na postup pri prístupe zamestnancov k dôverným informáciám, predpisov o kancelárskej práci a tok dokumentov, povinnosť zamestnanca nezverejňovať dôverné informácie, upozornenie zamestnanca na zachovanie obchodného tajomstva a pod.;
- organizačná ochrana zahŕňa režimovo-správne a organizačné opatrenia. Patria sem: organizácia bezpečnostnej služby, organizácia vnútornej kontroly a kontroly vstupu, organizácia práce so zamestnancami na utajení informácií tvoriacich obchodné a služobné tajomstvo, organizácia práce s dokumentmi, organizácia práce na analýze vonkajších a vnútorných hrozieb , atď.
- inžinierska a technická ochrana – zahŕňa použitie rôznych technických, elektronických a softvérových nástrojov určených na ochranu informácií.

Implementácia programu informačnej bezpečnosti by sa mala uskutočňovať na základe integrovaného využívania bezpečnostných systémov a nástrojov na základe predpokladu, že nie je možné zabezpečiť požadovanú úroveň bezpečnosti iba jedným samostatným nástrojom alebo opatrením, alebo jednoduchou kombináciou z nich. Nevyhnutná je ich systémová koordinácia. V tomto prípade môže implementácia akejkoľvek hrozby ovplyvniť chránený objekt len ​​vtedy, ak sú prekonané všetky úrovne ochrany.

Bezpečnosť každého systému elektronického obchodu ako celku spočíva v ochrane pred rôznymi druhmi zásahov do jeho údajov. Všetky tieto zásahy možno rozdeliť do niekoľkých kategórií:

· krádež údajov (napríklad krádež čísel kreditných kariet z databázy);

· rušenie (napríklad dátové preťaženie stránky, ktorá nie je určená pre také veľké množstvo informácií);

· skreslenie údajov (napríklad zmena súm v súboroch platieb a faktúr alebo vytváranie neexistujúcich certifikátov alebo stránok na čerpanie informácií smerujúcich na konkrétnu stránku);

· zničenie údajov (napríklad pri prenose zo stránky alebo na stránku od používateľa);

· odmietnutie vykonaných krokov (napríklad zo skutočnosti zadania objednávky alebo prijatia tovaru);

· neúmyselné zneužitie zariadení lokality bona fide užívateľom;

· neoprávnený prístup k informáciám:

· neoprávnené kopírovanie, aktualizácia alebo iné použitie údajov;

· neoprávnené transakcie;

· neoprávnené prezeranie alebo prenos údajov (napríklad zobrazovanie skutočných mien návštevníkov namiesto prezývok v diskusnej miestnosti alebo fóre).

Zároveň nemožno nebrať do úvahy, že v otázkach bezpečnosti v tejto oblasti existuje množstvo objektívnych problémov právneho charakteru - technológie sa vyvíjajú oveľa rýchlejšie ako legislatívny rámec, je ťažké chytiť útočníka v trestný čin a dôkazy a stopy zločinov možno ľahko zničiť bez stopy. To všetko si vyžaduje, aby spoločnosti starostlivo vypracovali politiku ochrany svojho elektronického podnikania. Úplná a absolútna bezpečnosť je nedosiahnuteľná, pretože systémy elektronického podnikania sú postavené na rôznych bežných a zákazkových softvérových aplikáciách od rôznych predajcov a na značnom počte externých služieb poskytovaných poskytovateľmi služieb alebo obchodnými partnermi. Značná časť týchto komponentov a služieb je zvyčajne pre IT špecialistov zákazníckej spoločnosti nepriehľadná, navyše mnohé z nich ich tvorcovia často upravujú a vylepšujú. Dôkladne skontrolovať všetky z nich na potenciálne bezpečnostné chyby je nemožné a ešte ťažšie je všetky tieto chyby odstrániť. A aj keby to bolo možné, nemožno vylúčiť ani takzvaný ľudský faktor, keďže všetky systémy vytvárajú, menia a riadia ľudia a podľa výskumu Inštitútu počítačovej bezpečnosti 81 % respondentov uviedlo, že najväčšie obavy majú firmy je vnútorné ohrozenie – úmyselné alebo neúmyselné konanie vlastných zamestnancov.

Problém ochrany pred vnútornými hrozbami má dva aspekty: technický a organizačný. Technickým aspektom je túžba eliminovať akúkoľvek možnosť neoprávneného prístupu k informáciám. Na tento účel sa používajú také známe prostriedky ako:

udržiavanie hesiel a ich pravidelná zmena; poskytovanie minimálnych práv potrebných na správu systému;

Dostupnosť štandardných postupov pre včasnú zmenu prístupovej skupiny pri personálnych zmenách alebo okamžité zničenie prístupu pri prepustení zamestnanca.

Organizačným aspektom je vyvinúť racionálnu vnútornú bezpečnostnú politiku, ktorá sa zmení na rutinné operácie, ako sú zriedka používané metódy ochrany a predchádzania hackerským útokom zo strany spoločností, ako sú:

· zavedenie všeobecnej kultúry bezpečnosti v spoločnosti;

· testovanie softvéru na hackovanie;

· sledovanie každého pokusu o hacknutie (bez ohľadu na to, aký je úspešný) a jeho dôkladné vyšetrenie;

· každoročné školenie zamestnancov o otázkach bezpečnosti a počítačovej kriminality vrátane informácií o konkrétnych príznakoch hackerských útokov s cieľom maximalizovať počet zamestnancov, ktorí majú schopnosť odhaliť takúto činnosť;

· zavedenie jasných postupov na riešenie prípadov neúmyselnej zmeny alebo zničenia informácií.

Na ochranu pred vonkajším prienikom dnes existuje veľa systémov, ktoré sú v podstate rôznymi druhmi filtrov, ktoré pomáhajú identifikovať pokusy o hackovanie v počiatočných štádiách a ak je to možné, zabraňujú útočníkovi vstúpiť do systému cez externé siete.

· smerovače - zariadenia na riadenie sieťovej prevádzky umiestnené medzi sieťami druhého rádu a spravujúce prichádzajúcu a odchádzajúcu prevádzku sieťových segmentov, ktoré sú k nej pripojené;

· firewally – prostriedky na izoláciu privátnych sietí od verejných sietí pomocou softvéru, ktorý monitoruje a potláča vonkajšie útoky na stránku pomocou určitej kontroly nad typmi požiadaviek;

aplikačné brány sú prostriedky, ktorými správca siete implementuje bezpečnostnú politiku, ktorá riadi smerovače, ktoré vykonávajú filtrovanie paketov;

· Intrusion Detection Systems (IDS) – systémy, ktoré detegujú úmyselné útoky a neúmyselné zneužitie systémových prostriedkov používateľmi;

· nástroje na hodnotenie bezpečnosti (špeciálne skenery a pod.) - programy, ktoré pravidelne skenujú sieť na problémy a testujú účinnosť implementovanej bezpečnostnej politiky.

Vo všeobecnosti platí, že prvá vec, ktorú by mala spoločnosť urobiť, je zistiť, čo by mala chrániť a pred kým. Hlavnými hráčmi v tejto oblasti sú akcionári spoločnosti, spotrebitelia, zamestnanci a obchodní partneri, pričom pre každého z nich je potrebné vypracovať vlastnú schému ochrany. Všetky bezpečnostné požiadavky musia byť zdokumentované, aby slúžili ako návod pre všetky implementácie aplikácií elektronického obchodu a ich bezpečnostných opatrení v rámci rôznych obchodných línií spoločnosti. Okrem toho vám to umožní vytvoriť samostatný rozpočet na obsluhu bezpečnostných problémov v rámci spoločnosti a optimalizovať náklady pre tieto potreby, čím sa eliminuje duplicita akýchkoľvek bezpečnostných problémov pri vývoji každého jednotlivého obchodného projektu.

Žiaľ, dnešná prax je taká, že bezpečnostná politika je ponechaná na vedenie IT oddelenia, ktorého zamestnanci sa domnievajú, že technologické záležitosti sú dôležitejšie ako akési „papierové“ návody a navyše nie sú špecialistami na určité oblasti podnikania. ktoré tiež vyžadujú jasné ochranné postupy v rámci spoločnosti.

Okrem toho pri párovaní rôznych softvérov môžu vzniknúť špecifické problémy, ktoré výrobcovia jednotlivých integrovaných produktov nepoznajú. Akékoľvek technologické a rozpočtové rozhodnutia by mal predchádzať výskum takýchto interakcií. A tomu sa doteraz venovalo príliš málo pozornosti.

Existuje niekoľko typov hrozieb elektronického obchodu:

Prienik do systému zvonku.

Neoprávnený prístup v rámci spoločnosti.

Zámerné zachytávanie a čítanie informácií.

Úmyselné narušenie dát alebo sietí.

Nesprávna (na podvodné účely) identifikácia používateľa.

Hackerská ochrana hardvéru a softvéru.

Neoprávnený prístup používateľa z jednej siete do druhej.

Vírusové útoky.

Odmietnutie služby.

Finančné podvody.

Na boj proti týmto hrozbám sa používa množstvo metód založených na rôznych technológiách, a to: šifrovanie - kódovanie údajov, ktoré zabraňuje ich prečítaniu alebo skresleniu; digitálne podpisy, ktoré overujú totožnosť odosielateľa a príjemcu; stealth technológie využívajúce elektronické kľúče; brány firewall; virtuálne a privátne siete.

Žiadna metóda ochrany nie je univerzálna, napríklad brány firewall nekontrolujú vírusy a nedokážu zabezpečiť integritu údajov. Neexistuje absolútne spoľahlivý spôsob, ako čeliť hackingu automatickej ochrany a je len otázkou času, kedy bude hacknutý. Ale čas potrebný na prelomenie takejto ochrany zase závisí od jej kvality. Treba povedať, že softvér a hardvér na ochranu pripojení a aplikácií na internete sa vyvíjali dlho, aj keď nové technológie sa zavádzajú trochu nerovnomerne.

Aké hrozby čakajú na spoločnosť vykonávajúcu elektronický obchod v každej fáze:

Nahradenie webovej stránky servera elektronického obchodu (presmerovanie požiadaviek na iný server), sprístupnenie informácií o klientovi, najmä o jeho kreditných kartách, tretím stranám;

Vytváranie falošných objednávok a rôzne formy podvodov zo strany zamestnancov elektronického obchodu, napríklad manipulácia s databázami (štatistiky ukazujú, že viac ako polovica počítačových incidentov súvisí s činnosťou ich vlastných zamestnancov);

Zachytávanie údajov prenášaných cez siete elektronického obchodu;

Prenikanie útočníkov do internej siete spoločnosti a kompromitácia komponentov elektronického obchodu;

Implementácia útokov odmietnutia služby a narušenie fungovania alebo deaktivácia uzla elektronického obchodu.

V dôsledku implementácie takýchto hrozieb spoločnosť stráca dôveru zákazníkov, prichádza o peniaze z potenciálnych a/alebo nedokonalých transakcií, narúša sa činnosť elektronického obchodu a vynakladá čas, peniaze a ľudské zdroje na obnovenie fungovania.

Hrozby spojené so zachytením informácií prenášaných cez internet sa samozrejme neobmedzujú len na sektor elektronického obchodu. Osobitný význam v súvislosti s posledným menovaným je skutočnosť, že jeho systémy obsahujú informácie veľkého ekonomického významu: čísla kreditných kariet, čísla účtov, obsah zmlúv atď.

1. Zabezpečenie elektronického obchodu

Zabezpečenie bezpečnosti je nielen nevyhnutnou podmienkou úspešného elektronického podnikania, ale aj základom dôveryhodných vzťahov medzi protistranami. Podstatou elektronického podnikania je aktívna výmena informácií a transakcie prostredníctvom nechránenej verejnej siete, ktoré sú jednoducho nemožné bez dôveryhodných vzťahov medzi podnikateľskými subjektmi. Zabezpečenie bezpečnosti je preto zložité a zahŕňa také úlohy, ako je prístup k webovým serverom a webovým aplikáciám, autentifikácia a autorizácia používateľov, zabezpečenie integrity a dôvernosti údajov, implementácia elektronických digitálnych podpisov atď.

S rastúcou komercializáciou internetu sa stále viac pozornosti venuje ochrane informácií prenášaných cez sieť. Špecializované protokoly určené na organizáciu bezpečnej interakcie cez internet (napríklad SET, SOCKS5, SSL, SHTTP atď.) získali široké uznanie po celom svete a zahraniční vývojári ich úspešne používajú na vytváranie internetových bankových a obchodných elektronických systémov.

V zahraničí sa problémom informačnej bezpečnosti e-businessu venuje nezávislé konzorcium - Internet Security Task Force (ISTF) - verejná organizácia zložená zo zástupcov a expertov spoločností, ktoré dodávajú nástroje informačnej bezpečnosti, e-business a internetové služby. poskytovateľov.

ISTF identifikuje dvanásť oblastí informačnej bezpečnosti, ktorým by sa mala venovať primárna pozornosť. organizátori elektronického obchodu:

Mechanizmus objektívneho potvrdenia identifikačných informácií;

Právo na osobné, súkromné ​​informácie;

Definícia bezpečnostných udalostí;

Ochrana korporátneho perimetra;

Definícia útokov;

Kontrola potenciálne nebezpečného obsahu u1086;

Riadenie prístupu;

Správa;

Reakcia na udalosti.

Je známe, že používanie algoritmov elektronického digitálneho podpisu (EDS) umožňuje spoľahlivú ochranu pred mnohými hrozbami, ale to platí len vtedy, ak sú tieto algoritmy votkané do dobre podložených interakčných protokolov, právne správnej štruktúry vzťahov a logicky uzavretého systém dôvery.

Informačná bezpečnosť je založená na jednoduchej logike procesov výpočtu digitálneho podpisu a jeho overenia pomocou dvojice zodpovedajúcich kľúčov, logika je však založená na základnom matematickom výskume. Iba vlastník súkromného kľúča môže vypočítať digitálny podpis a každý, kto má verejný kľúč zodpovedajúci súkromnému kľúču, ho môže overiť.

Samozrejme, špecialisti v tejto oblasti by sa mali podieľať na zabezpečovaní informačnej bezpečnosti, ale šéfovia vládnych orgánov, podnikov a inštitúcií, bez ohľadu na formu vlastníctva, ktorí sú zodpovední za ekonomické zabezpečenie určitých ekonomických subjektov, musia tieto otázky neustále udržiavať. ich zorné pole. Nižšie sú uvedené hlavné funkčné zložky organizácie komplexného systému informačnej bezpečnosti:

Komunikačné protokoly;

Kryptografické nástroje;

Nástroje na kontrolu prístupu pre pracovné stanice z verejných sietí;

Antivírusové komplexy;

Programy na detekciu a audit útokov;

Nástroje na centralizovanú správu riadenia prístupu používateľov, ako aj zabezpečenú výmenu dátových paketov a správ ľubovoľných aplikácií cez otvorené siete.

Internet už dlho má množstvo výborov, väčšinou dobrovoľníckych organizácií, ktoré starostlivo vedú navrhované technológie cez proces štandardizácie. Tieto výbory, ktoré tvoria väčšinu Internet Engineering Task Force (IETF), štandardizovali niekoľko dôležitých protokolov, čím urýchlili ich prijatie na internete.

Protokoly ako rodina TCP/IP pre dátovú komunikáciu, SMTP (Simple Mail Transport Protocol) a POP (Post Office Protocol) pre e-mail a SNMP (Simple Network Management Protocol) pre sieťovú správu sú priamym výsledkom úsilia IETF. Typ použitého bezpečnostného produktu závisí od potrieb spoločnosti.

Na internete sú obľúbené protokoly bezpečného prenosu dát, konkrétne SSL, SET, IP v.6. Uvedené protokoly sa na internete objavili pomerne nedávno, ako nevyhnutnosť ochrany cenných informácií, a okamžite sa stali de facto štandardmi.

Bohužiaľ, v Rusku sú stále veľmi opatrní, pokiaľ ide o možnosť zavedenia internetu do tých oblastí činnosti, ktoré súvisia s

prenos, spracovanie a uchovávanie dôverných informácií. Podobný

Opatrnosť si vysvetľuje nielen konzervatívnosťou domácich finančných štruktúr, ktoré sa obávajú otvorenosti a dostupnosti internetu, ale čiastočne aj faktom, že väčšina softvérov pre informačnú bezpečnosť od západných výrobných spoločností vstupuje na náš trh s exportnými obmedzeniami týkajúcimi sa v nich implementované kryptografické algoritmy. Napríklad v exportných verziách softvéru pre WWW servery a prehliadače od výrobcov ako Microsoft a Netscape Communications existujú obmedzenia týkajúce sa dĺžky kľúča pre jednokľúčové a dvojkľúčové šifrovacie algoritmy používané protokolom SSL, ktorý neposkytuje úplné ochranu pri práci na internete.

Aplikácie elektronického obchodu sú však okrem interných hrozieb náchylné aj na vonkajšie hrozby pochádzajúce z internetu. A keďže je iracionálne prideľovať každému anonymnému návštevníkovi samostatné prihlasovacie ID (keďže aplikácia nerastie), spoločnosti musia používať iný typ autentifikácie. Okrem toho je potrebné pripraviť servery na odrazenie útokov. Nakoniec by ste mali byť mimoriadne opatrní pri citlivých údajoch, ako sú čísla kreditných kariet.

Šifrovanie údajov

Firemná webová stránka spracúva citlivé informácie (napríklad čísla spotrebiteľských kreditných kariet). Prenos takýchto informácií cez internet bez akejkoľvek ochrany môže viesť k nenapraviteľným následkom. Ktokoľvek môže prenos odpočúvať a získať tak prístup k dôverným informáciám. Preto musia byť údaje šifrované a prenášané cez zabezpečený kanál. Na implementáciu bezpečného prenosu dát sa používa protokol Secure Sockets Layer (SSL).

Ak chcete implementovať túto funkciu, musíte si zakúpiť digitálny certifikát a nainštalovať ho na svoje servery. O digitálny certifikát môžete požiadať niektorý z certifikačných orgánov. Medzi známe komerčné certifikačné organizácie patria: VerySign, CyberTrust, GTE.

SSL je schéma pre protokoly ako HTTP (nazývané HTTPS, keď sú zabezpečené), FTP a NNTP. Pri použití SSL na prenos dát:

Údaje sú šifrované;

Medzi zdrojovým serverom a cieľovým serverom bolo vytvorené zabezpečené spojenie;

Overenie servera je povolené.

Keď používateľ odošle číslo kreditnej karty pomocou protokolu SSL, údaje sa okamžite zašifrujú, aby ich obsah nevidel hacker. SSL je nezávislé od sieťového protokolu.

Serverový softvér Netscape tiež poskytuje autentifikáciu – certifikáty a digitálne podpisy – potvrdzujúcu identitu používateľa a integritu správy a zabezpečuje, že správa nezmenila svoju cestu.

Autentifikácia zahŕňa potvrdenie identity používateľa a digitálneho podpisu na overenie pravosti dokumentov zapojených do výmeny informácií a finančných transakcií. Digitálny podpis sú údaje, ktoré možno pripojiť k dokumentu, aby sa zabránilo falšovaniu.

Detekcia narušenia

Intrusion Detection Systems (IDS) dokáže identifikovať vzory alebo stopy útokov a generovať pre ne alarmy

upozorniť operátorov a povzbudiť smerovače, aby ukončili pripojenia k zdrojom nelegálneho vniknutia. Tieto systémy môžu tiež zabrániť pokusom spôsobiť odmietnutie služby.

Popis práce

Cieľom tejto práce je študovať koncept elektronického obchodu a zvážiť otázky informačnej bezpečnosti elektronického obchodu.
Úlohy:
- definovať elektronický obchod;
- zvážiť jeho hlavné prvky, typy, pozitívne a negatívne aspekty;
- zvážiť hlavné typy hrozieb a hlavné spôsoby zaistenia bezpečnosti elektronického obchodu.

Informačná bezpečnosť elektronického obchodu (EC)

Počet používateľov internetu dosiahol niekoľko stoviek miliónov a objavila sa nová kvalita v podobe „virtuálnej ekonomiky“. V nej sa nakupuje cez nákupné stránky, využívajú nové obchodné modely, vlastnú marketingovú stratégiu atď.

Elektronický obchod (EC) je obchodná činnosť na predaj tovaru cez internet. Spravidla existujú dve formy ES:

* obchod medzi podnikmi (business to business, B2B);

* obchod medzi podnikmi a jednotlivcami, t.j. spotrebiteľov (business to Consumer, B2C).

ES viedlo k vzniku takých nových konceptov, ako sú:

* Elektronický obchod - výkladné a obchodné systémy, ktoré používajú výrobcovia alebo predajcovia pri dopyte po tovare.

* Elektronický katalóg – s veľkým sortimentom produktov od rôznych výrobcov.

* Elektronická aukcia je obdobou klasickej aukcie s využitím internetových technológií, s charakteristickým napojením na multimediálne rozhranie, internetový prístupový kanál a zobrazenie vlastností produktu.

* Elektronický obchodný dom je obdobou bežného obchodného domu, kde svoj tovar vystavujú bežné firmy, s efektnou značkou produktu (Gostiny Dvor, GUM a pod.).

* Virtuálne komunity (komunity), v ktorých sú kupujúci organizovaní záujmovými skupinami (fankluby, združenia a pod.).

Internet v oblasti EC prináša značné výhody:

* úspory pre veľké súkromné ​​spoločnosti z presunu nákupov surovín a komponentov na internetové burzy dosahujú 25 - 30 %;

* účasť na aukcii konkurenčných dodávateľov z celého sveta v reálnom čase vedie k zníženiu cien, ktoré majú naprogramované za dodávku tovaru alebo služieb;

* zvýšenie cien tovarov alebo služieb v dôsledku konkurencie kupujúcich z celého sveta;

* úspora znížením počtu potrebných zamestnancov a objemu papierovania.

Dominantným postavením v ES v západných krajinách sa stal B2B sektor, ktorý do roku 2007 podľa rôznych odhadov dosiahne 3 až 6 biliónov. dolárov. Prvé, ktoré profitovali z prevodu svojho podnikania na internet, boli spoločnosti predávajúce hardvér a softvér a poskytujúce počítačové a telekomunikačné služby.

Každý internetový obchod obsahuje dva hlavné komponentov:

elektronický obchod a obchodný systém.

Elektronický obchod obsahuje informácie o tovare predávanom na webovej stránke, poskytuje prístup do databázy obchodu, registruje zákazníkov, pracuje s elektronickým „košíkom kupujúceho“, zadáva objednávky, zhromažďuje marketingové informácie a prenáša informácie do obchodného systému.

Obchodný systém dodá tovar a spracuje zaň platbu. Obchodný systém je súbor obchodov vlastnených rôznymi spoločnosťami, ktoré si prenajímajú priestor na webovom serveri, ktorý vlastní samostatná spoločnosť.

Prevádzková technológia internetového obchodu nasledovne:

Kupujúci si vyberie požadovaný produkt na elektronickom obchode s katalógom tovaru a cien (webová stránka) a vyplní formulár s osobnými údajmi (celé meno, poštová a emailová adresa, preferovaný spôsob doručenia a platby). Ak sa platba uskutočňuje cez internet, osobitná pozornosť sa venuje informačnej bezpečnosti.

prevod hotového tovaru do obchodného systému internetového obchodu,

kde je objednávka dokončená. Obchodný systém funguje manuálne alebo automaticky. Manuálny systém funguje na princípe Posyltorg, keď nie je možné zakúpiť a nastaviť automatický systém, spravidla pri malom objeme tovaru.

Dodanie a platba tovaru. Doručenie tovaru kupujúcemu je realizované

jedným z možných spôsobov:

* predajný kuriér v rámci mesta a okolia;

* špecializovaná kuriérska služba (aj zo zahraničia);

* zdvihnúť;

* takéto špecifické informácie sa doručujú prostredníctvom telekomunikačných sietí

produkt ako informácia.

Platbu za tovar je možné uskutočniť nasledujúcimi spôsobmi:

* predbežne alebo v čase prevzatia tovaru;

* hotovosť kuriérovi alebo pri návšteve skutočnej predajne;

* poštovým prevodom;

* Banková transakcia;

* platba na dobierku;

* pomocou kreditných kariet (VISA, MASTER CARD atď.);

prostredníctvom elektronických platobných systémov prostredníctvom jednotlivých obchodných

banky (TELEBANK, ASSIST a pod.).

V poslednom čase sa vo svete pomerne rýchlo rozvíja elektronický obchod alebo obchod cez internet. Prirodzene, tento proces

za priamej účasti finančných inštitúcií. A tento spôsob obchodovania je čoraz obľúbenejší, aspoň tam, kde nový elektronický trh môže využívať veľká časť podnikateľov a obyvateľstva.

Komerčné aktivity v elektronických sieťach odstraňujú niektoré fyzické obmedzenia. Spoločnosti, ktoré pripájajú svoje počítačové systémy

Internet, sú schopní poskytnúť zákazníkom podporu 24 hodín denne bez sviatkov a víkendov. Objednávky produktov je možné prijímať kedykoľvek a odkiaľkoľvek.

Táto „minca“ má však aj svoju druhú stranu. V zahraničí, kde je elektronický obchod najviac rozvinutý, sú transakcie alebo náklady na tovar často obmedzené na 300 – 400 USD. Je to spôsobené nedostatočným riešením problémov informačnej bezpečnosti v počítačových sieťach. Počítačová kriminalita sa podľa Výboru OSN pre prevenciu a kontrolu kriminality dostala na úroveň jedného z medzinárodných problémov. V Spojených štátoch je tento druh trestnej činnosti na treťom mieste z hľadiska ziskovosti po obchodovaní so zbraňami a drogami.

Objem celosvetového obratu elektronického obchodu cez internet v roku 2006,

Podľa predpovedí Forrester Tech. by sa to mohlo pohybovať od 1,8 do 2 biliónov. Takéto široké rozpätie prognózy je determinované problémom zabezpečenia ekonomickej bezpečnosti elektronického obchodu. Ak úrovne bezpečnosti zostanú na súčasnej úrovni, globálny obrat elektronického obchodu by mohol byť ešte nižší. Z toho vyplýva, že práve nízka bezpečnosť systému e-commerce je limitujúcim faktorom rozvoja e-biznisu.

Riešenie problematiky zabezpečenia ekonomickej bezpečnosti elektronického obchodu je primárne spojené s riešením otázok ochrany informačných technológií v ňom používaných, teda zaistenia informačnej bezpečnosti.

Integrácia podnikových procesov do prostredia internetu vedie k zásadnej zmene bezpečnostnej situácie. Vytvorenie práv a povinností na základe elektronického dokumentu si vyžaduje komplexnú ochranu pred celým spektrom hrozieb, a to ako odosielateľa dokumentu, tak aj jeho príjemcu. Manažéri podnikov elektronického obchodu si, žiaľ, uvedomujú závažnosť informačných hrozieb a dôležitosť organizácie ochrany ich zdrojov až po tom, ako sú tieto vystavené informačným útokom. Ako vidíte, všetky uvedené prekážky sa týkajú oblasti informačnej bezpečnosti.

Medzi základné požiadavky na vykonávanie obchodných transakcií patrí dôvernosť, integrita, autentifikácia, autorizácia, záruky a utajenie.

Pri dosahovaní informačnej bezpečnosti je dôležité zabezpečiť ich dostupnosť, dôvernosť, integritu a právny význam základné úlohy . Každá hrozba sa musí zvážiť z hľadiska toho, ako by mohla ovplyvniť tieto štyri vlastnosti alebo kvality bezpečných informácií.

Dôvernosť znamená, že obmedzené informácie by mali byť prístupné len tým, ktorým sú určené. Pod bezúhonnosť informácia sa chápe ako jej vlastnosť existencie v neskreslenej podobe. Dostupnosť informácie sú určené schopnosťou systému poskytnúť včasný a neobmedzený prístup k informáciám subjektom, ktoré na to majú príslušné oprávnenie. Právny význam informácie sú v poslednom čase dôležité spolu s vytvorením regulačného rámca pre informačnú bezpečnosť v našej krajine.

Ak sa prvé štyri požiadavky podarí splniť technickými prostriedkami, potom splnenie posledných dvoch závisí jednak od technických prostriedkov a zodpovednosti jednotlivcov a organizácií, ako aj od dodržiavania zákonov, ktoré chránia spotrebiteľov pred možnými podvodmi zo strany predajcov.

V rámci zabezpečenia komplexnej informačnej bezpečnosti je v prvom rade potrebné vyzdvihnúť kľúč problémy v oblasti elektronickej bezpečnosti podnikania ktoré zahŕňajú:

ochrana informácií pri ich prenose prostredníctvom komunikačných kanálov; ochrana počítačových systémov, databáz a správy elektronických dokumentov;

zabezpečenie dlhodobého uchovávania informácií v elektronickej forme; zaistenie bezpečnosti transakcií, dôvernosti obchodných informácií, autentifikácie, ochrany duševného vlastníctva a pod.

Existuje niekoľko typov hrozieb elektronického obchodu:

 Prienik do systému zvonku.

 Neoprávnený prístup v rámci spoločnosti.

 Zámerné zachytávanie a čítanie informácií.

 Úmyselné narušenie dát alebo sietí.

 Nesprávna (na podvodné účely) identifikácia

užívateľ.

 Hackovanie softvérovej a hardvérovej ochrany.

 Neoprávnený prístup používateľov z jednej siete do druhej.

 Vírusové útoky.

 Odmietnutie služby.

 Finančné podvody.

Na boj proti týmto hrozbám sa používa množstvo metód založených na rôznych technológiách, a to: šifrovanie - kódovanie údajov, ktoré zabraňuje ich prečítaniu alebo skresleniu; digitálne podpisy, ktoré overujú totožnosť odosielateľa a príjemcu; stealth technológie využívajúce elektronické kľúče; brány firewall; virtuálne a privátne siete.

Žiadna metóda ochrany nie je univerzálna, napríklad brány firewall nekontrolujú vírusy a nedokážu zabezpečiť integritu údajov. Neexistuje absolútne spoľahlivý spôsob, ako čeliť hackingu automatickej ochrany a je len otázkou času, kedy bude hacknutý. Ale čas potrebný na prelomenie takejto ochrany zase závisí od jej kvality. Treba povedať, že softvér a hardvér na ochranu pripojení a aplikácií na internete sa vyvíjali dlho, aj keď nové technológie sa zavádzajú trochu nerovnomerne.

Ktoré vyhrážky číhajú na spoločnosť zaoberajúcu sa elektronickým obchodom v každom štádiu :

 nahradenie webovej stránky servera elektronického obchodu (presmerovanie požiadaviek na iný server), sprístupnenie informácií o klientovi, najmä o jeho kreditných kartách, tretím osobám;

 vytváranie falošných objednávok a rôznych foriem podvodov zo strany zamestnancov elektronického obchodu, napríklad manipulácia s databázami (štatistiky ukazujú, že viac ako polovica počítačových incidentov je spojená s činnosťou ich vlastných zamestnancov);

 zachytávanie údajov prenášaných cez siete elektronického obchodu;

 prienik útočníkov do vnútornej siete spoločnosti a kompromitácia komponentov elektronického obchodu;