Hyrje…………………………………………………………………………………………………………………………………………………………
1.Tregtia elektronike dhe historia e zhvillimit të saj…………………………………..5
1.1. Historia e tregtisë elektronike……………………………………………………………………………
2. Siguria e tregtisë elektronike………………………………………..8
2.1. Rreziqet dhe kërcënimet……………………………………………………………………………..
përfundimi……………………………………………………………………………………………………………………………………………
Lista e referencave…………………………………………………………………… 20
Prezantimi
Interneti global e ka bërë tregtinë elektronike të aksesueshme për kompanitë e çdo madhësie. Nëse më parë organizimi i shkëmbimit elektronik të të dhënave kërkonte investime të konsiderueshme në infrastrukturën e komunikimit dhe ishte i realizueshëm vetëm për kompanitë e mëdha, atëherë përdorimi i internetit sot i lejon firmat e vogla të bashkohen në radhët e "tregtarëve elektronikë". Një vitrinë elektronike në World Wide Web i jep çdo kompanie mundësinë për të tërhequr klientë nga e gjithë bota. Një biznes i tillë on-line formon një kanal të ri shitjesh - "virtual", i cili nuk kërkon pothuajse asnjë investim material. Nëse informacioni, shërbimet ose produktet (për shembull, softueri) mund të shpërndahen nëpërmjet internetit, atëherë i gjithë procesi i shitjes (përfshirë pagesën) mund të kryhet online.
Përkufizimi i tregtisë elektronike përfshin jo vetëm sistemet e orientuara nga interneti, por edhe "dyqanet elektronike" që përdorin mjedise të tjera komunikimi - BBS, VAN, etj. Në të njëjtën kohë, procedurat e shitjes të nisura nga informacioni nga WWW, por duke përdorur faks, telefon, etj. për shkëmbimin e të dhënave, mund të klasifikohen vetëm pjesërisht si e-commerce. Vëmë re gjithashtu se, përkundër faktit se WWW është baza teknologjike e e-commerce, një numër sistemesh përdorin gjithashtu aftësi të tjera komunikimi. Kështu, kërkesat për shitësin për të sqaruar parametrat e produktit ose për të bërë një porosi mund të dërgohen edhe me postë elektronike.
Sot, mjetet mbizotëruese të pagesës për blerjet online janë kartat e kreditit. Megjithatë, në skenë po hyjnë edhe instrumentet e reja të pagesave: kartat inteligjente, paratë dixhitale, mikropagesat dhe çeqet elektronike.
E-commerce përfshin jo vetëm transaksionet on-line. Fusha e mbuluar nga ky koncept duhet të përfshijë gjithashtu aktivitete të tilla si kryerja e hulumtimeve të marketingut, identifikimi i mundësive dhe partnerëve, mbajtja e marrëdhënieve me furnitorët dhe konsumatorët, organizimi i rrjedhës së dokumenteve, etj. Kështu, tregtia elektronike është një koncept kompleks dhe përfshin të dhënat e shkëmbimit elektronik si një të komponentëve.
- E-commerce dhe historia e zhvillimit të saj
Ndryshe nga tregtia tradicionale, tregtia elektronike ofron mundësitë e mëposhtme për kompanitë:
A) Shisni produktet tuaja nëpërmjet internetit;
B) Zhvillimi dhe koordinimi i marrëdhënieve me konsumatorët dhe furnitorët;
B) shkëmbejnë mallra dhe shërbime në mënyrë elektronike;
D) Ulja e çmimit të dorëzimit të produkteve dixhitale dhe mbështetjes së klientit pas shitjes;
D) Të përgjigjet shpejt ndaj ndryshimeve të tregut;
E) Ulja e kostove të përgjithshme;
G) Përmirësoni shërbimin ndaj klientit dhe prezantoni shërbimet tuaja për klientët;
H) Zgjeroni rrethin e konsumatorëve;
I) Merrni parasysh nevojat individuale të blerësit;
Tregtia elektronike i lejon blerësit të:
A) Blini mallra në çdo kohë dhe kudo;
B) Kryeni një analizë krahasuese të çmimeve dhe zgjidhni më të mirën;
C) Merrni akses të njëkohshëm në një gamë të gjerë produktesh;
D) Zgjidhni mekanizma të përshtatshëm për të bërë blerje;
D) Merrni informacione dhe lajme në varësi të preferencave tuaja.
1.1 Historia e e-commerce
Sistemet e para të tregtisë elektronike u shfaqën në vitet 1960 në SHBA. Ato u përdorën në kompanitë e transportit për të shkëmbyer të dhëna midis shërbimeve të ndryshme gjatë përgatitjes së fluturimeve dhe për prenotimin e biletave.
Fillimisht, një tregti e tillë u krye duke përdorur rrjete jashtë internetit, duke përdorur standarde të veçanta për shkëmbimin elektronik të të dhënave midis organizatave.
Nga fundi i viteve 1960, kishte katër standarde të industrisë në Shtetet e Bashkuara për shkëmbimin e të dhënave midis kompanive të ndryshme të transportit. Për të kombinuar këto standarde, në vitin 1968 u krijua një Komitet i veçantë për Harmonizimin e të Dhënave të Transportit. rezultatet e punës formuan bazën e standardit të ri EDI.
Në vitet 1970, ngjarje të ngjashme ndodhën në Angli. Në këtë vend, fusha kryesore e aplikimit të EDI nuk ishte transporti, por tregtia. Seti i specifikimeve të Tradacoms të zgjedhur këtu është miratuar nga Komisioni Ekonomik i Kombeve të Bashkuara për Evropën si një standard për shkëmbimin e të dhënave në organizatat ndërkombëtare të tregtisë.
Në vitet 1980 filloi puna për të kombinuar standardet evropiane dhe amerikane. Si rezultat i kësaj pune, sesioni i 42-të i Grupit të Punës për Lehtësimin e Tregtisë Ndërkombëtare në shtator 1996 miratoi Rekomandimin Nr. 25, “Përdorimi i Standardit të Kombeve të Bashkuara për shkëmbimin elektronik të të dhënave në administratë, tregti dhe transport”.
Kështu. Në fillim të viteve 1990, u shfaq standardi EDI-FACT dhe u miratua nga ISO (ISO 9735).
Por bashkimi përfundimtar i standardeve amerikane dhe evropiane nuk ndodhi. Një mundësi e re, më premtuese është shfaqur për shkëmbimin elektronik të të dhënave – shkëmbimi i të dhënave nëpërmjet internetit.
Zhvillimi i internetit me koston e tij të ulët të transmetimit të të dhënave ka bërë urgjent modernizimin e sistemeve EDI. Si rezultat, në mesin e viteve 1990, u zhvillua një standard tjetër - EDIFACT përmes Internetit (EDIINT), i cili përshkruan se si të transmetohet një transaksion EDI duke përdorur protokollet e sigurt të emailit SMTP/S-MIME.
Për shfaqjen dhe rritjen e popullaritetit të tregtisë elektronike, ekzistojnë një sërë parakushtesh demografike dhe teknologjike, të tilla si:
a) akses i gjerë në teknologjinë e informacionit, veçanërisht kompjuterët dhe internetin;
b) rritja e nivelit të edukimit të shoqërisë dhe për rrjedhojë trajtimi më i lirë i teknologjisë;
c) përparimi teknologjik dhe revolucioni dixhital kanë bërë të mundur që shumë pajisje dixhitale të ndërveprojnë me njëra-tjetrën, si kompjuteri, celulari etj.;
d) globalizimi, ekonomia e hapur, konkurrenca në shkallë globale;
e) aksesueshmërinë e e-commerce për këdo, në çdo kohë dhe në çdo vend.
f) dëshira për të kursyer kohë;
g) rritja e gamës së mallrave dhe shërbimeve, rritja e kërkesës për mallra dhe shërbime të veçanta.
- Siguria e tregtisë elektronike.
Arsyet e ndërprerjes së funksionimit normal të një kompanie në internet mund të jenë: viruset kompjuterike, mashtrimet që çojnë në humbje financiare; vjedhja e informacionit konfidencial; ndërhyrje të paligjshme në dosje me informacione konfidenciale për konsumatorët, etj.
Shkalla e mbrojtjes së faqes së internetit të një kompanie elektronike varet nga niveli i konfidencialitetit të informacionit të saj dhe nevoja për pajtueshmërinë e tij. Kështu, për shembull, nëse numrat e kartës së kreditit futen në një faqe interneti, atëherë është e nevojshme të sigurohet shkalla më e lartë e mbrojtjes për serverin në internet.
Detyrat e ruajtjes së sigurisë në tregtinë elektronike zbresin në vërtetimin e përdoruesit, ruajtjen e konfidencialitetit dhe integritetit të informacionit: vërtetimi - kontrollimi i autenticitetit të përdoruesit; konfidencialiteti - sigurimi i ruajtjes së informacionit privat të ofruar nga përdoruesi; integriteti i informacionit - mungesa e shtrembërimeve në informacionin e transmetuar.
Hakerat dhe viruset mund të përbëjnë një kërcënim për integritetin e informacionit në një server në internet.
Një haker depërton në kompjuterë dhe serverë të mbrojtur dobët dhe instalon programe speciale - të padukshme, të cilat janë mjaft të vështira për t'u zbuluar. Në mënyrë tipike, një program i tillë i padukshëm nuk dëmton faqen e internetit, por krijon mbingarkesë të madhe në rrjet. Hakeri përcakton objektivin e sulmit të tij dhe aktivizon një program të para-instaluar, duke dërguar një komandë përmes Internetit në disa kompjuterë. Kjo fillon një sulm që mbingarkon rrjetin e një ndërmarrje tregtare.
Një lloj tjetër i rëndë i shkeljes së sigurisë së kompjuterëve dhe serverëve në internet është një virus. Viruset cenojnë integritetin e sistemit dhe mashtrojnë masat e sigurisë së informacionit. Mjeti më i mirë për t'u mbrojtur nga viruset është instalimi dhe përditësimi periodik i programeve antivirus, si dhe përdorimi i mureve të zjarrit. Një mur zjarri është një filtër i instaluar midis një rrjeti të korporatës dhe internetit për të mbrojtur informacionin dhe skedarët nga aksesi i paautorizuar dhe për të lejuar aksesin vetëm për personat e autorizuar. Kështu, muri i zjarrit parandalon hyrjen e viruseve kompjuterike dhe hakerëve në rrjetin e ndërmarrjes dhe e mbron atë nga ndikimi i jashtëm kur lidhet me internetin.
Gjatë zbatimit të tregtisë elektronike, një nga çështjet më të rëndësishme është konfidencialiteti i informacionit. Informacioni i dhënë nga përdoruesi kompanisë duhet të mbrohet me besueshmëri. Një nga mënyrat për të siguruar transmetim të sigurt dhe konfidencial të të dhënave përmes rrjeteve kompjuterike është kriptografia, d.m.th. enkriptimin ose kodimin e të dhënave në mënyrë që vetëm palët e përfshira në një transaksion të caktuar të mund t'i lexojnë ato.
Kur kriptohet, dërguesi i një mesazhi e konverton tekstin në një grup karakteresh që nuk mund të lexohen pa përdorur një çelës të veçantë të njohur për marrësin. Çelësi i shifrës është një sekuencë karakteresh të ruajtura në hard diskun e kompjuterit ose në disketën. Shkalla e sigurisë së informacionit varet nga algoritmi i enkriptimit dhe gjatësia e çelësit, e matur në bit.
Ekzistojnë dy lloje të algoritmeve të kriptimit:
- simetrik, në të cilin i njëjti çelës, i njohur për të dyja palët, përdoret si për enkriptimin ashtu edhe për deshifrimin e informacionit;
asimetrike, në të cilën përdoren dy çelësa, njëri për enkriptim dhe tjetri për deshifrim. Njëri prej këtyre çelësave është privat (sekret), i dyti është i hapur (publik).
Procesi i aplikimit të një nënshkrimi elektronik dixhital është si më poshtë:
1. dërguesi krijon një mesazh dhe e kripton me çelësin e tij privat, i cili njëkohësisht është nënshkrimi elektronik dixhital i dërguesit. Në këtë rast, si teksti i vetë komunikimit ashtu edhe nënshkrimi dixhital i bashkangjitur në fund të dokumentit janë të koduara.
2. dërguesi ia transmeton marrësit letrën e koduar dhe çelësin e tij publik nëpërmjet kanaleve të komunikimit;
3. Marrësi deshifron mesazhin duke përdorur çelësin publik të dërguesit.
4. Së bashku me nënshkrimin dixhital, zakonisht përdoret një nga funksionet ekzistuese Hash. Funksioni HASH prodhon një varg karakteresh, të quajtur përmbledhje mesazhi, gjatë përpunimit të mesazhit. Dërguesi krijon një përmbledhje të mesazhit, e kodon atë dhe gjithashtu ia përcjell atë marrësit. Marrësi përpunon mesazhin me të njëjtin funksion HASH dhe gjithashtu merr një përmbledhje të mesazhit. Nëse të dyja përmbledhjet e mesazheve përputhen, atëherë mesazhi është marrë pa korrupsion.
5. Certifikatat dixhitale përdoren për të konfirmuar pronësinë e një çelësi publik për një person ose ndërmarrje të caktuar tregtare. Një certifikatë dixhitale është një dokument i lëshuar nga një autoritet certifikues për të konfirmuar identitetin e një personi ose ndërmarrje specifike duke verifikuar emrin dhe çelësin publik. Për të marrë një certifikatë dixhitale, duhet të kontaktoni qendrën e certifikimit dhe të jepni informacionin e nevojshëm. Çdo autoritet certifikimi vendos çmimet e veta dhe, si rregull, lëshon një certifikatë dixhitale për një vit me mundësinë e rinovimit pas pagesës për vitin e ardhshëm.
Për të adresuar çështjet e sigurisë, kompanitë e tregtisë elektronike përdorin teknologjinë SSL dhe SET.
Protokolli SSL është protokolli kryesor që përdoret për të mbrojtur të dhënat e transmetuara në internet. Ky protokoll bazohet në një kombinim të algoritmeve të enkriptimit asimetrik dhe simetrik. Ai siguron tre funksione kryesore: vërtetimin e serverit, vërtetimin e klientit dhe lidhjen e koduar SSL.
Protokolli SET është një protokoll që përdoret për transaksionet ndërmjet bankave tregtare dhe klientëve të kartave të kreditit.
- Rreziqet dhe kërcënimet
Hajdutët.
Pamundësia për të tërhequr shokë.
Dështimet e pajisjeve.
Fuqia, linjat e komunikimit ose dështimet e rrjetit.
Varësia nga shërbimet e dorëzimit.
Konkurrencë intensive.
Gabimet e softuerit.
Ndryshimet në politikë dhe taksa.
Kapaciteti i kufizuar i sistemit.
Hajdutët
Kërcënimi më i popullarizuar për tregtinë elektronike vjen nga hakerat e kompjuterave. Çdo ndërmarrje është subjekt i kërcënimit të sulmit nga kriminelët, dhe ndërmarrjet e mëdha të tregtisë elektronike tërheqin vëmendjen e hakerëve kompjuterikë të niveleve të ndryshme të aftësive.
Arsyet për këtë vëmendje janë të ndryshme. Në disa raste është thjesht një "interes i pastër sportiv", në të tjera një dëshirë për të bërë dëm, për të vjedhur para ose për të blerë një produkt ose shërbim falas.
Siguria e sitit sigurohet nga një kombinim i masave të mëposhtme:
Bëni kopje rezervë të informacionit të rëndësishëm.
Politika e personelit që ju lejon të tërheqni vetëm njerëz të ndërgjegjshëm për të punuar dhe të inkurajoni ndërgjegjshmërinë e stafit. Përpjekjet më të rrezikshme të hakimit vijnë nga brenda kompanisë.
Përdorimi i softuerit me aftësi për mbrojtjen e të dhënave dhe përditësimi i tij në kohën e duhur.
Trajnimi i personelit për të identifikuar objektivat dhe për të njohur dobësitë e sistemit.
Auditimi dhe regjistrimi për të zbuluar përpjekje të suksesshme dhe të pasuksesshme hakerimi.
Në mënyrë tipike, hakimi është i suksesshëm për shkak të fjalëkalimeve që mund të hamendësohen lehtë, gabimeve të zakonshme të konfigurimit dhe dështimit për të përditësuar versionet e softuerit në kohën e duhur. Për t'u mbrojtur nga një hajdut jo shumë i sofistikuar, mjafton të merrni masa relativisht të thjeshta. Si mjet i fundit, duhet të ketë gjithmonë një kopje rezervë të të dhënave kritike.
Pamundësia për të tërhequr shokë
Ndërsa sulmet e hakerëve janë shqetësimi më i madh, shumica e dështimeve të tregtisë elektronike rrjedhin ende nga faktorët ekonomikë tradicionalë. Krijimi dhe marketingu i një faqeje të madhe të tregtisë elektronike kërkon shumë para. Kompanitë preferojnë investimet afatshkurtra, duke ofruar rritje të menjëhershme të klientëve dhe të ardhurave pasi marka të vendoset në treg.
Rënia e tregtisë elektronike çoi në shkatërrimin e shumë kompanive që specializoheshin vetëm në të.
Dështimet e pajisjeve
Është mjaft e qartë se dështimi i një pjese të rëndësishme të njërit prej kompjuterëve të një kompanie, aktivitetet e së cilës janë të përqendruara në internet mund të shkaktojë dëme të konsiderueshme në të.
Mbrojtja kundër kohës së ndërprerjes për faqet që funksionojnë nën ngarkesë të lartë ose kryejnë funksione të rëndësishme sigurohet nga dyfishimi, në mënyrë që dështimi i ndonjë komponenti të mos ndikojë në funksionalitetin e të gjithë sistemit. Megjithatë, edhe këtu është e nevojshme të vlerësohen humbjet nga ndërprerja e mundshme në krahasim me kostot e blerjes së pajisjeve shtesë.
Shumë kompjuterë që përdorin Apache, PHP dhe MySQL janë relativisht të lehtë për t'u konfiguruar. Përveç kësaj, motori i replikimit të MySQL lejon sinkronizimin e përgjithshëm të informacionit në bazat e të dhënave. Megjithatë, një numër i madh i kompjuterëve nënkupton edhe kosto të larta për mirëmbajtjen e pajisjeve, infrastrukturës së rrjetit dhe pritjes.
Dështime të energjisë, linjave të komunikimit, rrjetit dhe shërbimit të shpërndarjes
Varësia nga interneti nënkupton varësinë nga shumë ofrues të shërbimeve të ndërlidhura, kështu që nëse lidhja me pjesën tjetër të botës prishet papritur, nuk ka asgjë për të bërë veçse të presim që ajo të rikthehet. E njëjta gjë vlen edhe për ndërprerjet dhe grevat e energjisë elektrike ose ndërprerjet dhe grevat e tjera të energjisë elektrike ose ndërprerje të tjera në kompaninë e dërgesës.
Nëse keni një buxhet të mjaftueshëm, mund të merreni me disa ofrues shërbimesh. Kjo kërkon kosto shtesë, por siguron funksionim të pandërprerë në rast të dështimit të njërit prej tyre. Ndërprerjet ekstreme të energjisë mund të mbrohen duke instaluar furnizime me energji të pandërprerë.
Konkurrencë intensive
Nëse hapni një kioskë në rrugë, vlerësimi i mjedisit konkurrues nuk është veçanërisht i vështirë - konkurrent do të jenë të gjithë ata që shesin të njëjtin produkt brenda syve. Në rastin e tregtisë elektronike, situata është disi më e ndërlikuar.
Në varësi të kostove të transportit, luhatjeve të monedhës dhe diferencave në kostot e punës, konkurrentët mund të gjenden kudo. Interneti është një mjedis shumë konkurrues dhe me zhvillim të shpejtë. Në sektorët e njohur të biznesit, konkurrentë të rinj shfaqen pothuajse çdo ditë.
Rreziku i konkurrencës është i vështirë për t'u vlerësuar. Këtu strategjia më korrekte është të mbështesni nivelin aktual të teknologjisë.
Gabimet e softuerit
Kur një biznes varet nga softueri, ai është i prekshëm ndaj gabimeve në atë softuer.
Mundësia e dështimeve kritike mund të minimizohet duke instaluar softuer të besueshëm, duke testuar pas çdo zëvendësimi të harduerit me defekt dhe duke përdorur procedura formale testimi. Është shumë e rëndësishme që çdo risi në sistem të shoqërohet me testim të plotë.
Për të reduktuar dëmin e shkaktuar nga dështimet e softuerit, duhet të kopjoni menjëherë të gjitha të dhënat. Kur bëni ndonjë ndryshim, duhet të ruani konfigurimet e mëparshme të programit. Për të zbuluar shpejt keqfunksionimet e mundshme, kërkohet monitorim i vazhdueshëm i sistemit.
Ndryshimet në politikën tatimore
Në shumë vende, aktivitetet e e-biznesit nuk janë të përcaktuara ose të përcaktuara mjaftueshëm me ligj. Megjithatë, kjo situatë nuk mund të vazhdojë përgjithmonë dhe zgjidhja e çështjes do të çojë në një sërë problemesh që mund të çojnë në mbylljen e disa ndërmarrjeve. Përveç kësaj, ekziston gjithmonë rreziku i taksave më të larta.
Këto probleme nuk mund të shmangen. Në këtë situatë, e vetmja mënyrë e arsyeshme veprimi do të ishte monitorimi i kujdesshëm i situatës dhe sjellja e aktiviteteve të ndërmarrjes në përputhje me ligjin. Mundësia e lobimit për interesat tuaja duhet gjithashtu të hulumtohet.
Kapaciteti i kufizuar i sistemit
Në fazën e projektimit të sistemit, duhet patjetër të konsideroni mundësinë e rritjes së tij. Suksesi është i lidhur pazgjidhshmërisht me ngarkesat, kështu që sistemi duhet të lejojë zgjerimin e pajisjeve.
Fitimet e kufizuara të performancës mund të arrihen duke zëvendësuar harduerin, por shpejtësia edhe e kompjuterit më të avancuar ka një kufi, kështu që softueri duhet të sigurojë aftësinë për të shpërndarë ngarkesën nëpër sisteme të shumta kur të arrihet kufiri i specifikuar. Për shembull, një sistem i menaxhimit të bazës së të dhënave duhet të jetë në gjendje të përpunojë kërkesa nga shumë makina në të njëjtën kohë.
Zgjerimi i sistemit nuk është pa dhimbje, por planifikimi në kohë në fazën e zhvillimit ju lejon të parashikoni shumë probleme që lidhen me një rritje të numrit të klientëve dhe t'i parandaloni ato paraprakisht.
konkluzioni
Edhe pse lidhja me internetin ofron përfitime të mëdha për shkak të aksesit në një sasi kolosale informacioni, është gjithashtu e rrezikshme për faqet me nivele të ulëta sigurie. Interneti vuan nga probleme serioze sigurie, të cilat, nëse injorohen, mund të shkaktojnë katastrofë për faqet e papërgatitura. Gabimet në hartimin e TCP/IP, kompleksiteti i administrimit të hostit, dobësitë në programe dhe një sërë faktorësh të tjerë së bashku i bëjnë faqet e pambrojtura të prekshme ndaj veprimeve të sulmuesve.
Organizatat duhet t'u përgjigjen pyetjeve të mëposhtme për të shqyrtuar siç duhet implikimet e sigurisë të lidhjes me internetin:
A mund të shkatërrojnë hakerat sistemet e brendshme?
A mund të rrezikohet (modifikohet ose lexohet) informacioni i rëndësishëm i një organizate gjatë transmetimit në internet?
A është e mundur të ndërhyhet në punën e organizatës?
Këto janë të gjitha pyetje të rëndësishme. Ka shumë zgjidhje teknike për të luftuar problemet kryesore të sigurisë në internet. Megjithatë, të gjitha ato kanë një çmim. Shumë zgjidhje kufizojnë funksionalitetin për të rritur sigurinë. Të tjerët kërkojnë që të bëhen kompromise të rëndësishme në lidhje me lehtësinë e përdorimit të internetit. Akoma të tjerë kërkojnë investimin e burimeve të konsiderueshme - kohë pune për të zbatuar dhe ruajtur sigurinë dhe para për të blerë dhe mirëmbajtur pajisje dhe programe.
Qëllimi i një politike sigurie në internet është të vendosë se si një organizatë do të mbrojë veten. Një politikë zakonisht përbëhet nga dy pjesë - parime të përgjithshme dhe rregulla specifike operative (të cilat janë ekuivalente me politikën specifike të përshkruar më poshtë). Parimet e përgjithshme udhëheqin qasjen ndaj sigurisë në internet. Rregullat përcaktojnë se çfarë lejohet dhe çfarë është e ndaluar. Rregullat mund të plotësohen me procedura specifike dhe udhëzime të ndryshme.
Është e vërtetë se ekziston një lloj i tretë i politikës që shfaqet në literaturën e sigurisë në internet. Kjo është një qasje teknike. Në këtë publikim, qasja teknike do të kuptohet si analizë që ndihmon në zbatimin e parimeve dhe rregullave të politikës. Në përgjithësi është shumë teknik dhe kompleks për t'u kuptuar nga menaxhmenti organizativ. Prandaj, nuk mund të përdoret aq gjerësisht sa politika. Megjithatë, është e domosdoshme kur përshkruhen zgjidhjet e mundshme, duke identifikuar kompromiset që janë një element i domosdoshëm në përshkrimin e politikës.
Që politikat e internetit të jenë efektive, politikëbërësit duhet të kuptojnë kompromiset që do të duhet të bëjnë. Kjo politikë gjithashtu nuk duhet të bie ndesh me dokumentet e tjera drejtuese të organizatës. Ky publikim përpiqet t'u ofrojë profesionistëve teknikë informacionin që u nevojitet për t'u shpjeguar politikëbërësve të internetit. Ai përmban një dizajn paraprak të politikës, në bazë të së cilës më pas mund të merren vendime specifike teknike.
Interneti është një burim i rëndësishëm që ka ndryshuar mënyrën se si funksionojnë shumë njerëz dhe organizata. Megjithatë, interneti vuan nga probleme serioze dhe të përhapura sigurie. Shumë organizata janë sulmuar ose hetuar nga sulmuesit, duke bërë që ato të pësojnë humbje të mëdha financiare dhe të humbasin prestigjin e tyre. Në disa raste, organizatat u detyruan të shkëputeshin përkohësisht nga interneti dhe shpenzuan shuma të konsiderueshme parash për zgjidhjen e problemeve të konfigurimit të hostit dhe rrjetit. Faqet që nuk janë në dijeni ose i injorojnë këto çështje e vënë veten në rrezik të sulmit në internet nga aktorë keqdashës. Edhe ato faqe që kanë zbatuar masa sigurie janë të ekspozuara ndaj të njëjtave rreziqe për shkak të shfaqjes së dobësive të reja në programet e rrjetit dhe këmbënguljes së disa sulmuesve.
Problemi themelor është se interneti nuk është krijuar për të qenë një rrjet i sigurt. Disa nga problemet e tij në versionin aktual të TCP/IP janë:
Lehtësia e përgjimit të të dhënave dhe falsifikimi i adresave të makinave në rrjet - pjesa më e madhe e trafikut të Internetit janë të dhëna të pakriptuara. Email-et, fjalëkalimet dhe skedarët mund të përgjohen duke përdorur programe lehtësisht të aksesueshme.
Dobësia e mjeteve TCP/IP - një numër i mjeteve TCP/IP nuk janë krijuar për të qenë të sigurt dhe mund të rrezikohen nga sulmues të aftë; mjetet e përdorura për testim janë veçanërisht të cenueshme.
Mungesa e politikës - shumë sajte janë konfiguruar në mënyrë të pavetëdijshme në atë mënyrë që të ofrojnë akses të gjerë për veten e tyre nga interneti, pa marrë parasysh mundësinë e abuzimit me këtë akses; Shumë sajte lejojnë më shumë shërbime TCP/IP sesa u nevojiten për të operuar dhe nuk bëjnë asnjë përpjekje për të kufizuar aksesin në informacione rreth kompjuterëve të tyre që mund të ndihmojnë sulmuesit.
Vështirë për t'u konfiguruar - kontrollet e aksesit të hostit janë komplekse; Shpesh është e vështirë të konfigurosh saktë dhe të verifikosh efektivitetin e instalimeve. Mjetet që janë konfiguruar gabimisht gabimisht mund të rezultojnë në akses të paautorizuar.
Lista e literaturës së përdorur
1. Materialet nga serveri i teknologjisë informative - http://www. citforum.ru
2. Çfarë është e-commerce? V. Zavaleev, Qendra për Teknologjitë e Informacionit. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovich A.A., Tsarev V.V. Tekste shkollore për universitetet: Tregtia elektronike 2002, 320 faqe.
| Në listën e botimeve
Sigurimi i sigurisë së informacionit të ndërmarrjeve tregtare, rrjeteve të shitjes me pakicë dhe infrastrukturës së tyre
Tendencat aktuale në zhvillimin e tregtisë në Rusi çojnë në konsolidimin e kompanive duke rritur numrin e ndërmarrjeve në përbërjen e tyre, duke konsoliduar asetet e operatorëve të ndryshëm, duke kryer bashkime dhe blerje dhe duke krijuar qendra të shpërndarjes së rrjetit. Si rezultat, kërkesat për teknologjinë e informacionit dhe rëndësia e tyre në organizimin e tregtisë janë në rritje. Përpunimi i rrjedhave të informacionit në çdo kompani kërkon shpejtësi të lartë dhe saktësi absolute.
Fig.1. Rrjedhat kryesore të informacionit që qarkullojnë në sistemin e menaxhimit të një kompanie të rrjetit
Menaxhimi i një dyqani modern, ndërmarrje tregtare me shumicë dhe rrjeti i shpërndarjes përfshin përdorimin e sistemeve të automatizuara për tregti të integruar, depo dhe kontabilitet. Sot, menaxherët marrin vendime të menaxhimit bazuar në të dhënat e marra nga sistemet e informacionit. Kështu, cilado qoftë struktura e kompanisë, kontabiliteti i kontratave, lëvizjet e inventarit, parave dhe kontabilitetit duhet të kryhen në një hapësirë të vetme informacioni.
Për të automatizuar menaxhimin e procesit të tregtimit, në ndërmarrje krijohet një sistem informacioni, i cili mund të përfshijë:
- sistemi i brendshëm i kontabilitetit dhe raportimit (përmban të dhëna për vëllimin, strukturën dhe shpejtësinë e prodhimit dhe qarkullimit të mallrave, kostot dhe humbjet e ndërmarrjes, të ardhurat bruto, fitimin neto, rentabilitetin, etj.);
- sistemi i informacionit të marketingut (ju lejon të gjurmoni gjendjen aktuale, tendencat dhe perspektivat për zhvillimin e tregut). Ky sistem informacioni mund të përkufizohet edhe si sistem inteligjence, sepse siguron mbledhjen, përpunimin dhe analizën e të dhënave për aktivitetet e konkurrentëve.
Të dhënat në sistemin e informacionit vijnë nga personeli i kompanisë dhe nga sistemet e zyrave të shpërndarësve. Në të ardhmen, ato përdoren për menaxhimin operacional të ndërmarrjes, kontrollin dhe analizën e aktiviteteve të kompanisë në tërësi, zyrat rajonale dhe shpërndarësit. Konsumatorët e të dhënave të rrjetit të informacionit janë menaxherët dhe drejtuesit e kompanisë dhe kompanitë shpërndarëse. Figura 1 dhe 2 tregojnë flukset kryesore të informacionit që qarkullojnë në sistemin e menaxhimit të një ndërmarrje tregtare (rrjeti tregtar), duke treguar burimet kryesore dhe konsumatorët e tyre.
Për të marrë vendime strategjike të menaxhimit, është e domosdoshme që drejtuesi i një ndërmarrje, drejtori financiar, llogaritari kryesor dhe menaxherët e lartë të paraqesin një pamje të plotë të gjendjes së ndërmarrjes dhe tendencave të zhvillimit të saj (Fig. 1.).
Në vendet e punës në departamentin e kontabilitetit, në katin e shitjeve, në magazinë, punëtorët merren vetëm me fragmente individuale të rrjedhës së përgjithshme të informacionit. Detyrat dhe funksionet e tyre, si rregull, zbresin në përpunimin dhe regjistrimin e marrjes dhe konsumit të mallrave, lëshimin e faturave, punën në arkë etj. (Fig. 2.).
Duke marrë parasysh rreziqet e ndërmarrjeve tregtare dhe cenueshmërinë e sistemeve të informacionit, duket e papërgjegjshme të merret një qasje në të cilën kompania reagon ndaj ngjarjeve pas faktit, d.m.th. pasi ndodhin. Nga kjo rrjedh se kompania duhet të krijojë një sistem sigurie informacioni. Është një nga elementët kryesorë të sistemit të kontrollit.
Ndalimi i funksionimit të një sistemi informacioni mund të shkaktojë pasoja të pakthyeshme për një biznes. Kështu, sipas kompanisë së sigurimeve Gerling, nëse sistemi i informacionit ndalet plotësisht, kompanitë tregtare mund të ekzistojnë vetëm për 2.5 ditë, dhe për ndërmarrjet prodhuese pa cikël të vazhdueshëm prodhimi, kjo shifër është 5 ditë.
Të dhënat fillestare për krijimin e një sistemi efektiv të sigurisë së informacionit duhet të jenë ide të qarta për qëllimet dhe strukturën e tij, llojet e kërcënimeve dhe burimet e tyre, si dhe kundërmasat e mundshme.
Burimet e kërcënimeve mund të jenë të jashtme dhe të brendshme.
Fig.2. Sistemi i shkëmbimit të të dhënave për punonjësit e departamenteve të ndryshme të një ndërmarrje me pakicë ose zinxhir të shitjes me pakicë
Kërcënimet e jashtme më shpesh vijnë nga konkurrentë, grupe kriminale dhe zyrtarë të korruptuar brenda autoriteteve ligjore dhe administrative. Veprimet e kërcënimeve të jashtme mund të synojnë median e ruajtjes pasive, heqjen e informacionit gjatë procesit të shkëmbimit, shkatërrimin e informacionit ose dëmtimin e medias së tij të ruajtjes. Kërcënimet mund të drejtohen ndaj personelit të kompanisë dhe të shprehen në formën e ryshfetit, kërcënimit, shantazhit, kërkimit të informacionit për të marrë informacione që përbëjnë një sekret tregtar, ose përfshijnë tërheqjen e specialistëve kryesorë, etj.
Kërcënimet e brendshme paraqesin rrezikun më të madh. Ato mund të vijnë nga menaxherë të paaftë, personel të paskrupullt dhe të pakualifikuar, përvetësues dhe mashtrues dhe mjete të vjetruara prodhimi. Punonjësit individualë me një nivel të lartë vetëvlerësimi, për shkak të pakënaqësisë me ambiciet e tyre (niveli i pagave, marrëdhëniet me menaxhmentin, kolegët, etj.), mund t'u japin në mënyrë proaktive informacione komerciale konkurrentëve, të përpiqen të shkatërrojnë informacione të rëndësishme ose media pasive, për për shembull, prezantoni një virus kompjuterik.
Dëmtimi i burimeve të informacionit mund të shkaktohet nga:
zbatimin e aksesit të paautorizuar dhe heqjen e informacionit konfidencial;
ryshfeti i punonjësve për të fituar akses në informacionin konfidencial ose sistemin e informacionit;
duke përgjuar informacionin që qarkullon në objektet dhe sistemet e komunikimeve dhe kompjuterave duke përdorur mjete teknike të zbulimit dhe mbledhjes së informacionit;
duke përgjuar biseda konfidenciale që zhvillohen në ambiente zyre, automjete zyrtare dhe personale, në apartamente dhe dacha;
përmes proceseve të negociatave, duke përdorur trajtimin e pakujdesshëm të informacionit;
Burimet kryesore të informacionit janë: njerëz, dokumente, botime, media teknike, mjete teknike, produkte dhe mbetje.
Mënyrat kryesore për të marrë informacion të paautorizuar janë:
- zbulimi i informacionit konfidencial;
- akses i paautorizuar në burimet e informacionit;
- rrjedhje e informacionit konfidencial për faj të punonjësve të kompanisë.
Rëndësia e problemit të marrjes së masave për të garantuar sigurinë e informacionit mund të ilustrohet nga shembujt e mëposhtëm:
1. Shërbimi i sigurisë së operatorit federal zbulon nga dy deri në gjashtë incidente që lidhen me shkeljet e sigurisë së informacionit çdo muaj.
2. Në një hipermarket, një vajzë e re u “ndriçuar” për mangësitë e programit për çiftimin e terminaleve të kasave në një rrjet lokal. Si rezultat i mashtrimit, zonja "fitoi" 900,000 rubla në tre muaj.
3. Një arkëtar i ri bëri ndryshime në programin e parave të gatshme dhe brenda një muaji shkaktoi dëme në ndërmarrje në shumën prej rreth 200,000 rubla. Administratori i sistemit zbuloi faktin e aksesit të paautorizuar vetëm gjatë një hetimi dy muaj pas shkarkimit të arkëtarit.
Kështu, drejtuesit e biznesit duhet të kuptojnë rëndësinë e sigurisë së informacionit dhe të mësojnë të parashikojnë dhe menaxhojnë tendencat e ardhshme. Funksionimi efektiv i sistemeve të sigurisë duhet të jetë një prioritet kryesor për të gjithë ndërmarrjen.
Fushat kryesore të mbrojtjes së informacionit:
- mbrojtja ligjore përfshin: Legjislacionin e Federatës Ruse, dokumentet e veta rregullatore, duke përfshirë: rregulloret për ruajtjen e informacionit konfidencial, një listë të informacionit që përbën një sekret tregtar, udhëzime për procedurën e aksesit të punonjësve në informacione konfidenciale, rregullore për punën e zyrës dhe rrjedha e dokumenteve, detyrimi i punonjësit për moszbulimin e informacionit konfidencial, një kujtesë për një punonjës për ruajtjen e sekreteve tregtare, etj.;
- mbrojtja organizative përfshin masat regjim-administrative dhe organizative. Këto përfshijnë: organizimin e një shërbimi sigurie, organizimin e kontrollit të brendshëm dhe aksesin, organizimin e punës me punonjësit për moszbulimin e informacionit që përbëjnë sekrete tregtare dhe zyrtare, organizimin e punës me dokumente, organizimin e punës për analizën e kërcënimeve të jashtme dhe të brendshme. , etj.
- Mbrojtja inxhinierike dhe teknike - përfshin përdorimin e mjeteve të ndryshme teknike, elektronike dhe softuerike të krijuara për të mbrojtur informacionin.
Zbatimi i një programi të sigurisë së informacionit duhet të kryhet në bazë të përdorimit të integruar të sistemeve dhe mjeteve të sigurisë bazuar në premisën se është e pamundur të sigurohet niveli i kërkuar i sigurisë duke përdorur vetëm një mjet ose masë të veçantë, ose një kombinim të thjeshtë. prej tyre. Koordinimi i tyre sistemik është i nevojshëm. Në këtë rast, zbatimi i çdo kërcënimi mund të ndikojë në objektin e mbrojtur vetëm nëse kapërcehen të gjitha nivelet e mbrojtjes.
Siguria e çdo sistemi e-commerce në tërësi qëndron në mbrojtjen nga lloje të ndryshme ndërhyrjesh në të dhënat e tij. Të gjitha këto ndërhyrje mund të ndahen në disa kategori:
· Vjedhja e të dhënave (për shembull, vjedhja e numrave të kartave të kreditit nga një bazë të dhënash);
· ndërhyrje (për shembull, mbingarkesa e të dhënave e një faqeje që nuk është menduar për një sasi kaq të madhe informacioni);
· shtrembërim i të dhënave (për shembull, ndryshimi i shumave në skedarët e pagesave dhe faturave ose krijimi i certifikatave ose faqeve inekzistente për pompimin e informacionit që shkon në një vend specifik);
· shkatërrimi i të dhënave (për shembull, gjatë transmetimit nga faqja ose në sajt nga përdoruesi);
· refuzimi i veprimeve të ndërmarra (për shembull, nga fakti i vendosjes së një porosie ose marrjes së mallrave);
· Keqpërdorimi i paqëllimshëm i objekteve të sitit nga një përdorues me mirëbesim;
· Qasje e paautorizuar në informacion:
· kopjimi, përditësimi ose përdorimi tjetër i paautorizuar i të dhënave;
· transaksione të paautorizuara;
· shikimi ose transmetimi i paautorizuar i të dhënave (për shembull, shfaqja e emrave të vërtetë të vizitorëve në vend të pseudonimeve në një dhomë bisede ose forum).
Në të njëjtën kohë, nuk mund të mos merret parasysh se në çështjet e sigurisë në këtë fushë ka një sërë problemesh objektive të një natyre juridike - teknologjitë po zhvillohen shumë më shpejt se kuadri legjislativ, është e vështirë të kapësh një sulmues në akti i një krimi, dhe provat dhe gjurmët e krimeve mund të shkatërrohen lehtësisht pa lënë gjurmë. E gjithë kjo e bën të nevojshme që kompanitë të zhvillojnë me kujdes një politikë për mbrojtjen e biznesit të tyre elektronik. Siguria e plotë dhe absolute është e paarritshme sepse sistemet e e-biznesit janë ndërtuar mbi një sërë aplikacionesh softuerësh të disponueshëm dhe të personalizuar nga shitës të ndryshëm dhe një numër të konsiderueshëm shërbimesh të jashtme të ofruara nga ofruesit e shërbimeve ose partnerët e biznesit. Një pjesë e konsiderueshme e këtyre komponentëve dhe shërbimeve janë zakonisht të errëta për specialistët e IT-së të kompanisë së klientit, përveç kësaj, shumë prej tyre shpesh modifikohen dhe përmirësohen nga krijuesit e tyre. Është e pamundur të kontrollohen tërësisht të gjitha këto për defekte të mundshme sigurie, dhe është edhe më e vështirë të eliminohen të gjitha këto defekte. Dhe edhe sikur kjo të ishte e mundur, i ashtuquajturi faktor njerëzor nuk mund të përjashtohet, pasi të gjitha sistemet krijohen, ndryshohen dhe menaxhohen nga njerëzit, dhe sipas hulumtimit të Institutit të Sigurisë Kompjuterike, 81% e të anketuarve vunë re se shqetësimi më i madh për kompanitë është kërcënimi i brendshëm - veprime të qëllimshme ose të paqëllimshme të punonjësve të tyre.
Problemi i mbrojtjes nga kërcënimet e brendshme ka dy aspekte: teknik dhe organizativ. Aspekti teknik është dëshira për të eliminuar çdo mundësi të aksesit të paautorizuar në informacion. Për këtë qëllim, përdoren mjete të tilla të njohura si:
mirëmbajtja e fjalëkalimeve dhe ndryshimi i tyre rregullisht; sigurimin e të drejtave minimale të nevojshme për administrimin e sistemit;
Disponueshmëria e procedurave standarde për ndryshimin në kohë të grupit të aksesit gjatë ndryshimeve të personelit ose shkatërrimit të menjëhershëm të aksesit pas shkarkimit të një punonjësi.
Aspekti organizativ është zhvillimi i një politike racionale të sigurisë së brendshme që shndërrohet në operacione rutinë, metoda të tilla të përdorura rrallë për mbrojtjen dhe parandalimin e sulmeve të hakerëve nga kompani si:
· futja e një kulture të përgjithshme sigurie në kompani;
· testimi i softuerit për hakerim;
· gjurmimi i çdo përpjekjeje hakerimi (pa marrë parasysh sa i suksesshëm është) dhe hetimi i plotë i tij;
· Trajnim vjetor për stafin për çështjet e sigurisë dhe krimit kibernetik, duke përfshirë informacionin mbi shenjat specifike të sulmeve të hakerëve, për të maksimizuar numrin e punonjësve që kanë aftësinë për të zbuluar një aktivitet të tillë;
· Prezantimi i procedurave të qarta për trajtimin e rasteve të ndryshimit ose shkatërrimit të paqëllimshëm të informacionit.
Për të mbrojtur kundër ndërhyrjeve të jashtme, sot ka shumë sisteme që janë në thelb lloje të ndryshme filtrash që ndihmojnë në identifikimin e përpjekjeve të hakerimit në fazat e hershme dhe, nëse është e mundur, parandalojnë një sulmues të hyjë në sistem përmes rrjeteve të jashtme.
· ruterat - pajisjet e menaxhimit të trafikut të rrjetit të vendosura midis rrjeteve të rendit të dytë dhe menaxhimin e trafikut hyrës dhe dalës të segmenteve të rrjetit të lidhur me të;
· muret e zjarrit - mjete për izolimin e rrjeteve private nga rrjetet publike duke përdorur softuer që monitoron dhe shtyp sulmet e jashtme në faqe duke përdorur kontroll të caktuar mbi llojet e kërkesave;
portat e aplikacioneve janë mjetet me të cilat administratori i rrjetit zbaton politikën e sigurisë që udhëzon ruterat që kryejnë filtrimin e paketave;
· Sistemet e zbulimit të ndërhyrjeve (IDS) - sisteme që zbulojnë sulme të qëllimshme dhe keqpërdorime të paqëllimshme të burimeve të sistemit nga përdoruesit;
· mjetet e vlerësimit të sigurisë (skanerë specialë, etj.) - programe që skanojnë rregullisht rrjetin për probleme dhe testojnë efektivitetin e politikës së sigurisë të zbatuar.
Në përgjithësi, gjëja e parë që një kompani duhet të bëjë është të kuptojë se çfarë duhet të mbrohet dhe nga kush. Aktorët kryesorë në këtë fushë janë aksionerët, konsumatorët, punonjësit dhe partnerët e biznesit të kompanisë dhe për secilin prej tyre është e nevojshme të zhvillohet skema e tyre e mbrojtjes. Të gjitha kërkesat e sigurisë duhet të dokumentohen për të shërbyer si udhëzues për të gjitha zbatimet e aplikacioneve të tregtisë elektronike dhe masat e tyre të sigurisë në linjat e ndryshme të biznesit të kompanisë. Përveç kësaj, kjo do t'ju lejojë të krijoni një buxhet të veçantë për shërbimin e problemeve të sigurisë brenda kompanisë dhe të optimizoni kostot për këto nevoja, duke eliminuar dyfishimin e çdo çështje sigurie gjatë zhvillimit të secilit projekt biznesi individual.
Fatkeqësisht, praktika e sotme është e tillë që politika e sigurisë i është lënë menaxhmentit të departamentit të IT, punonjësit e të cilit besojnë se çështjet teknologjike janë më të rëndësishme se një lloj udhëzimesh "letër" dhe, për më tepër, nuk janë specialistë në fusha të caktuara të biznesit. që kërkojnë gjithashtu procedura të qarta mbrojtjeje brenda kompanisë.
Përveç kësaj, kur çiftoni softuer të ndryshëm, mund të shfaqen probleme specifike që nuk janë të njohura për prodhuesit e secilit prej produkteve të integruara. Hulumtimi në ndërveprime të tilla duhet t'i paraprijë çdo vendimi teknologjik dhe buxhetor. Dhe deri më tani kësaj i është kushtuar shumë pak vëmendje.
Ekzistojnë disa lloje të kërcënimeve të tregtisë elektronike:
Depërtimi në sistem nga jashtë.
Qasje e paautorizuar brenda kompanisë.
Përgjimi dhe leximi i qëllimshëm i informacionit.
Ndërprerje e qëllimshme e të dhënave ose rrjeteve.
Identifikimi i pasaktë (për qëllime mashtruese) të përdoruesit.
Mbrojtja e harduerit dhe softuerit nga hakerimi.
Qasje e paautorizuar e përdoruesit nga një rrjet në tjetrin.
Sulmet e viruseve.
Mohimi i shërbimit.
Mashtrimi financiar.
Për t'iu kundërvënë këtyre kërcënimeve, përdoren një sërë metodash të bazuara në teknologji të ndryshme, përkatësisht: enkriptimi - kodimi i të dhënave që pengon leximin ose shtrembërimin e tyre; nënshkrimet dixhitale që verifikojnë identitetin e dërguesit dhe marrësit; teknologjitë e fshehta duke përdorur çelësa elektronikë; muret e zjarrit; rrjete virtuale dhe private.
Asnjë metodë e mbrojtjes nuk është universale, për shembull, muret e zjarrit nuk kontrollojnë për viruse dhe nuk janë në gjendje të sigurojnë integritetin e të dhënave; Nuk ka asnjë mënyrë absolutisht të besueshme për të kundërshtuar hakerimin e mbrojtjes automatike, dhe është vetëm çështje kohe para se të hakerohet. Por koha që duhet për të thyer një mbrojtje të tillë, nga ana tjetër, varet nga cilësia e saj. Duhet thënë se softueri dhe hardueri për të mbrojtur lidhjet dhe aplikacionet në internet janë zhvilluar për një kohë të gjatë, megjithëse teknologjitë e reja po futen disi në mënyrë të pabarabartë.
Cilat kërcënime e presin një kompani që kryen tregti elektronike në çdo fazë:
Zëvendësimi i faqes së internetit të serverit të dyqanit elektronik (ridrejtimi i kërkesave në një server tjetër), vënia në dispozicion e të tretëve të informacionit për klientin, veçanërisht për kartat e tij të kreditit;
Krijimi i porosive të rreme dhe formave të ndryshme të mashtrimit nga ana e punonjësve të një dyqani elektronik, për shembull, manipulimi i bazave të të dhënave (statistikat tregojnë se më shumë se gjysma e incidenteve kompjuterike lidhen me aktivitetet e punonjësve të tyre);
Përgjimi i të dhënave të transmetuara përmes rrjeteve të tregtisë elektronike;
Depërtimi i sulmuesve në rrjetin e brendshëm të kompanisë dhe komprometimi i komponentëve të dyqaneve elektronike;
Zbatimi i sulmeve të mohimit të shërbimit dhe ndërprerja e funksionimit ose çaktivizimi i një nyje të tregtisë elektronike.
Si rezultat i zbatimit të këtyre kërcënimeve, kompania humbet besimin e klientit, humbet para nga transaksionet e mundshme dhe/ose të papërsosura, aktiviteti i dyqanit elektronik ndërpritet dhe shpenzon kohë, para dhe burime njerëzore për rikthimin e funksionimit.
Sigurisht, kërcënimet që lidhen me përgjimin e informacionit të transmetuar nëpërmjet internetit nuk kufizohen vetëm në sektorin e tregtisë elektronike. Me rëndësi të veçantë në lidhje me këtë të fundit është fakti se sistemet e tij përmbajnë informacione me rëndësi të madhe ekonomike: numrat e kartave të kreditit, numrat e llogarive, përmbajtjen e kontratave, etj.
- Sigurimi i tregtisë elektronike
Sigurimi i sigurisë nuk është vetëm një kusht i domosdoshëm për biznesin elektronik të suksesshëm, por edhe themeli për marrëdhëniet e besimit ndërmjet palëve. Vetë thelbi i e-biznesit përfshin shkëmbimin aktiv të informacionit dhe transaksionet përmes një rrjeti publik të pambrojtur, të cilat janë thjesht të pamundura pa marrëdhënie besimi midis subjekteve të biznesit. Prandaj, ofrimi i sigurisë është kompleks, duke përfshirë detyra të tilla si aksesi në serverët e uebit dhe aplikacionet në ueb, vërtetimi dhe autorizimi i përdoruesve, sigurimi i integritetit dhe konfidencialitetit të të dhënave, zbatimi i nënshkrimeve dixhitale elektronike, etj.
Me komercializimin në rritje të internetit, gjithnjë e më shumë vëmendje po i kushtohet mbrojtjes së informacionit të transmetuar përmes rrjetit. Protokollet e specializuara të krijuara për të organizuar ndërveprim të sigurt nëpërmjet internetit (për shembull, SET, SOCKS5, SSL, SHTTP, etj.) kanë marrë njohje të gjerë në të gjithë botën dhe përdoren me sukses nga zhvilluesit e huaj për të krijuar sisteme elektronike bankare dhe tregtare të bazuara në internet.
Jashtë vendit, problemi i sigurisë së informacionit të e-biznesit po trajtohet nga një konsorcium i pavarur - Task Forca e Sigurisë së Internetit (ISTF) - një organizatë publike e përbërë nga përfaqësues dhe ekspertë të kompanive që ofrojnë mjete të sigurisë së informacionit, e-biznes dhe shërbimin e internetit. ofruesit.
ISTF identifikon dymbëdhjetë fusha të sigurisë së informacionit që duhet të jenë fokusi kryesor i vëmendjes. organizatorët e e-biznesit:
Një mekanizëm për konfirmimin objektiv të informacionit identifikues;
E drejta për informacion personal, privat;
Përkufizimi i ngjarjeve të sigurisë;
Mbrojtja e perimetrit të korporatës;
Përkufizimi i sulmeve;
Kontrolli i përmbajtjes potencialisht të rrezikshme u1086;
Kontrolli i aksesit;
Administrata;
Reagimi ndaj ngjarjeve.
Dihet që përdorimi i algoritmeve të nënshkrimit elektronik dixhital (EDS) lejon një mbrojtje të besueshme kundër shumë kërcënimeve, por kjo është e vërtetë vetëm nëse këto algoritme janë të lidhura në protokolle ndërveprimi të bazuara mirë, një strukturë ligjërisht korrekte marrëdhëniesh dhe një mbyllje logjikisht. sistemi i besimit.
Siguria e informacionit bazohet në logjikën e thjeshtë të proceseve të llogaritjes së një nënshkrimi dixhital dhe verifikimit të tij me një palë çelësash përkatës, megjithatë, logjika bazohet në kërkime themelore matematikore. Vetëm pronari i çelësit privat mund të llogarisë një nënshkrim dixhital dhe kushdo që ka një çelës publik që korrespondon me çelësin privat mund ta verifikojë atë.
Sigurisht që specialistët e kësaj fushe duhet të përfshihen në sigurimin e informacionit, por drejtuesit e organeve qeveritare, ndërmarrjeve dhe institucioneve, pavarësisht nga forma e pronësisë së tyre, të cilët janë përgjegjës për sigurinë ekonomike të subjekteve të caktuara ekonomike, duhet t'i mbajnë vazhdimisht këto çështje në fushën e tyre të shikimit. Për ta, më poshtë janë komponentët kryesorë funksionalë të organizimit të një sistemi gjithëpërfshirës të sigurisë së informacionit:
Protokollet e komunikimit;
Mjete kriptografike;
Mjetet e kontrollit të aksesit për stacionet e punës nga rrjetet publike;
Komplekset antivirus;
Programet e zbulimit dhe auditimit të sulmeve;
Mjete për menaxhimin e centralizuar të kontrollit të aksesit të përdoruesit, si dhe shkëmbimin e sigurt të paketave të të dhënave dhe mesazheve të çdo aplikacioni përmes rrjeteve të hapura.
Interneti ka pasur prej kohësh një sërë komitetesh, kryesisht organizata vullnetare, që drejtojnë me kujdes teknologjitë e propozuara përmes procesit të standardizimit. Këto komitete, të cilat përbëjnë pjesën më të madhe të Task Forcës së Inxhinierisë së Internetit (IETF), kanë standardizuar disa protokolle të rëndësishme, duke përshpejtuar miratimin e tyre në internet.
Protokollet si familja TCP/IP për komunikimet e të dhënave, SMTP (Simple Mail Transport Protocol) dhe POP (Protokolli i Postës) për email, dhe SNMP (Simple Network Management Protocol) për menaxhimin e rrjetit janë rezultate të drejtpërdrejta të përpjekjeve të IETF. Lloji i produktit të sigurisë që përdoret varet nga nevojat e kompanisë.
Protokollet e sigurt të transmetimit të të dhënave janë të njohura në internet, përkatësisht SSL, SET, IP v.6. Protokollet e listuara u shfaqën në internet relativisht kohët e fundit, si një domosdoshmëri për të mbrojtur informacionin e vlefshëm, dhe menjëherë u bënë standarde de facto.
Fatkeqësisht, në Rusi ata janë ende shumë të kujdesshëm në lidhje me mundësinë e futjes së internetit në ato fusha të veprimtarisë që kanë të bëjnë me
transferimin, përpunimin dhe ruajtjen e informacionit konfidencial. I ngjashëm
Kujdesi shpjegohet jo vetëm nga konservatorizmi i strukturave financiare vendase, të cilat kanë frikë nga hapja dhe aksesi i internetit, por pjesërisht, me faktin se shumica e softuerëve të sigurisë së informacionit nga kompanitë prodhuese perëndimore hyjnë në tregun tonë me kufizime eksporti në lidhje me algoritmet kriptografike të implementuara në to. Për shembull, në versionet e eksportit të softuerit për serverët dhe shfletuesit WWW nga prodhues të tillë si Microsoft dhe Netscape Communications, ka kufizime në gjatësinë e çelësit për algoritmet e enkriptimit me një çelës dhe me dy çelësa të përdorur nga protokolli SSL, i cili nuk ofron të plotë mbrojtje kur punoni në internet.
Megjithatë, aplikacionet e e-commerce, përveç kërcënimeve të brendshme, janë gjithashtu të ndjeshme ndaj kërcënimeve të jashtme që burojnë nga interneti. Dhe meqenëse është e paarsyeshme t'i caktohet një ID të veçantë identifikimi për çdo vizitor anonim (pasi aplikacioni nuk rritet), kompanitë duhet të përdorin një lloj tjetër vërtetimi. Përveç kësaj, është e nevojshme të përgatiten serverë për të zmbrapsur sulmet. Së fundi, duhet të jeni jashtëzakonisht të kujdesshëm me të dhënat e ndjeshme, siç janë numrat e kartave të kreditit.
Kriptimi i të dhënave
Faqja e internetit e biznesit përpunon informacione të ndjeshme (të tilla si numrat e kartës së kreditit të konsumatorit). Transmetimi i një informacioni të tillë në internet pa asnjë mbrojtje mund të çojë në pasoja të pariparueshme. Çdokush mund të përgjojë transmetimin dhe kështu të ketë akses në informacionin konfidencial. Prandaj, të dhënat duhet të kodohen dhe transmetohen përmes një kanali të sigurt. Për të zbatuar transferimin e sigurt të të dhënave, përdoret protokolli Secure Sockets Layer (SSL).
Për të zbatuar këtë funksionalitet, duhet të blini një certifikatë dixhitale dhe ta instaloni atë në server(ët). Ju mund të aplikoni për një certifikatë dixhitale nga një prej organeve të certifikimit. Organizatat e njohura të certifikimit tregtar përfshijnë: VerySign, CyberTrust, GTE.
SSL është një skemë për protokolle të tilla si HTTP (i quajtur HTTPS kur është i sigurt), FTP dhe NNTP. Kur përdorni SSL për transferimin e të dhënave:
Të dhënat janë të koduara;
Është krijuar një lidhje e sigurt midis serverit burim dhe serverit të destinacionit;
Autentifikimi i serverit është aktivizuar.
Kur një përdorues dorëzon një numër karte krediti duke përdorur SSL, të dhënat kodohen menjëherë në mënyrë që një haker të mos mund të shohë përmbajtjen e saj. SSL është i pavarur nga protokolli i rrjetit.
Softueri i serverit të Netscape ofron gjithashtu vërtetim - çertifikata dhe nënshkrime dixhitale - duke vërtetuar identitetin e përdoruesit dhe integritetin e mesazhit dhe duke siguruar që mesazhi të mos ketë ndryshuar rrugën e tij.
Autentifikimi përfshin konfirmimin e identitetit të përdoruesit dhe nënshkrimin dixhital për të verifikuar vërtetësinë e dokumenteve të përfshira në shkëmbimin e informacionit dhe transaksionet financiare. Një nënshkrim dixhital është të dhëna që mund t'i bashkëngjiten një dokumenti për të parandaluar falsifikimin.
Zbulimi i ndërhyrjeve
Sistemet e zbulimit të ndërhyrjeve (IDS) mund të identifikojnë modelet ose gjurmët e sulmeve dhe të gjenerojnë alarme për
sinjalizojnë operatorët dhe inkurajojnë ruterat që të ndërpresin lidhjet me burimet e ndërhyrjeve të paligjshme. Këto sisteme mund të parandalojnë gjithashtu përpjekjet për të shkaktuar mohim të shërbimit.
Përshkrimi i punës
Qëllimi i kësaj pune është të studiojë konceptin e e-commerce dhe të shqyrtojë çështjet e sigurisë së informacionit të e-commerce.
Detyrat:
- të përkufizojë tregtinë elektronike;
- të shqyrtojë elementet, llojet, aspektet pozitive dhe negative të tij kryesore;
- konsideroni llojet kryesore të kërcënimeve dhe mënyrat kryesore për të garantuar sigurinë e tregtisë elektronike.
Siguria e informacionit të tregtisë elektronike (KE)
Numri i përdoruesve të internetit ka arritur në disa qindra milionë dhe një cilësi e re është shfaqur në formën e një "ekonomie virtuale". Në të, blerjet bëhen përmes faqeve të blerjeve, duke përdorur modele të reja biznesi, strategjinë e tyre të marketingut, etj.
Tregtia elektronike (KE) është një aktivitet biznesi për shitjen e mallrave nëpërmjet internetit. Si rregull, ekzistojnë dy forma të KE-së:
* tregtia ndërmjet ndërmarrjeve (biznes me biznes, B2B);
* tregtia ndërmjet ndërmarrjeve dhe individëve, d.m.th. konsumatorët (biznes për konsumator, B2C).
KE ka krijuar koncepte të reja si:
* Dyqani elektronik - vitrinë e ekranit dhe sistemet e tregtimit që përdoren nga prodhuesit ose tregtarët kur ka kërkesë për mallra.
* Katalog elektronik – me një shumëllojshmëri të madhe të produkteve nga prodhues të ndryshëm.
* Një ankand elektronik është një analog i një ankandi klasik duke përdorur teknologjitë e internetit, me një lidhje karakteristike me një ndërfaqe multimediale, një kanal aksesi në internet dhe shfaqje të veçorive të produktit.
* Një dyqan elektronik është një analog i një dyqani të rregullt, ku kompanitë e zakonshme shfaqin mallrat e tyre, me një markë produktive efektive (Gostiny Dvor, GUM, etj.).
* Komunitete (komunitete) virtuale, në të cilat blerësit organizohen sipas grupeve të interesit (klubet e tifozëve, shoqatat, etj.).
Interneti në fushën e KE-së sjell përfitime të konsiderueshme:
* Kursimet për kompanitë e mëdha private nga transferimi i blerjeve të lëndëve të para dhe komponentëve në shkëmbimet e internetit arrijnë në 25 - 30%;
* pjesëmarrja në ankand e furnitorëve konkurrues nga e gjithë bota në kohë reale çon në uljen e çmimeve që ata kanë programuar për furnizimin e mallrave ose shërbimeve;
* rritje e çmimeve për mallra ose shërbime si rezultat i konkurrencës nga blerësit nga e gjithë bota;
* kursime duke reduktuar numrin e punonjësve të kërkuar dhe volumin e dokumenteve.
Pozicioni dominues në KE në vendet perëndimore është bërë sektori B2B, i cili deri në vitin 2007, sipas vlerësimeve të ndryshme, do të arrijë nga 3 në 6 trilionë. dollarë. Të parat që përfituan nga transferimi i biznesit të tyre në internet ishin kompanitë që shesin harduer dhe softuer dhe ofrojnë shërbime kompjuterike dhe telekomunikuese.
Çdo dyqan online përfshin dy kryesore komponentët:
vitrinë elektronike dhe sistemin e tregtimit.
Vitrina elektronike përmban informacione për mallrat e shitura në faqen e internetit, siguron akses në bazën e të dhënave të dyqanit, regjistron klientët, punon me "shportën" elektronike të blerësit, vendos porosi, mbledh informacione të marketingut dhe transmeton informacion në sistemin e tregtimit.
Sistemi i tregtimit dorëzon mallrat dhe përpunon pagesën për to. Një sistem tregtar është një koleksion dyqanesh në pronësi të kompanive të ndryshme që marrin me qira hapësirë në një server në internet në pronësi të një kompanie të veçantë.
Teknologjia e funksionimit të dyqaneve në internet si në vazhdim:
Blerësi zgjedh produktin e dëshiruar në një vitrinë elektronike me një katalog mallrash dhe çmimesh (faqe në internet) dhe plotëson një formular me të dhëna personale (emri i plotë, adresa postare dhe e-mail, mënyra e preferuar e dorëzimit dhe pagesës). Nëse pagesa bëhet nëpërmjet internetit, atëherë vëmendje e veçantë i kushtohet sigurisë së informacionit.
Transferimi i mallrave të përfunduara në sistemin e tregtimit të dyqanit online,
ku është përfunduar porosia. Sistemi i tregtimit funksionon manualisht ose automatikisht. Sistemi manual funksionon sipas parimit Posyltorg, kur është e pamundur të blini dhe të vendosni një sistem të automatizuar, si rregull, kur vëllimi i mallrave është i vogël.
Dorëzimi dhe pagesa e mallrave. Dorëzimi i mallrave te blerësi kryhet
në një nga mënyrat e mundshme:
* dyqan korrier brenda qytetit dhe zonave përreth;
* shërbim i specializuar korrier (përfshirë nga jashtë);
* marr;
* Një informacion i tillë specifik shpërndahet përmes rrjeteve të telekomunikacionit
produkti si informacion.
Pagesa për mallrat mund të bëhet në mënyrat e mëposhtme:
* paraprake ose në momentin e marrjes së mallrave;
* para në korrier ose kur vizitoni një dyqan të vërtetë;
* me transfertë postare;
* Transaksion bankar;
* para ne dore gjate dorezimit;
* përdorimi i kartave të kreditit (VISA, MASTER CARD, etj.);
përmes sistemeve të pagesave elektronike përmes komercialeve individuale
bankat (TELEBANK, ASSIST, etj.).
Kohët e fundit, tregtia elektronike ose tregtia nëpërmjet internetit po zhvillohet mjaft shpejt në botë. Natyrisht, ky proces
kryhet me pjesëmarrjen e drejtpërdrejtë të institucioneve financiare. Dhe kjo mënyrë tregtimi po bëhet gjithnjë e më popullore, të paktën aty ku tregu i ri elektronik mund të përdoret nga një pjesë e madhe e bizneseve dhe e popullatës.
Aktivitetet tregtare në rrjetet elektronike heqin disa kufizime fizike. Kompanitë që lidhin sistemet e tyre kompjuterike me
Internet, janë në gjendje t'u ofrojnë klientëve mbështetje 24 orë në ditë pa pushime dhe fundjavë. Porositë për produkte mund të pranohen në çdo kohë nga kudo.
Megjithatë, kjo “monedhë” ka anën tjetër. Jashtë vendit, ku tregtia elektronike është më e zhvilluar, transaksionet ose kostoja e mallrave shpesh kufizohen në 300-400 dollarë. Kjo është për shkak të zgjidhjes së pamjaftueshme të problemeve të sigurisë së informacionit në rrjetet kompjuterike. Sipas Komitetit të OKB-së për Parandalimin dhe Kontrollin e Krimit, krimi kompjuterik ka arritur në nivelin e një prej problemeve ndërkombëtare. Në Shtetet e Bashkuara, ky lloj aktiviteti kriminal zë vendin e tretë për nga përfitimi pas trafikut të armëve dhe drogës.
Vëllimi i qarkullimit global të e-commerce nëpërmjet internetit në 2006,
Sipas parashikimeve të Forrester Tech., mund të variojë nga 1.8 në 2 trilionë. dollarë një gamë kaq e gjerë parashikimi përcaktohet nga problemi i sigurimit të sigurisë ekonomike të tregtisë elektronike. Nëse nivelet e sigurisë mbeten në nivelet aktuale, qarkullimi global i tregtisë elektronike mund të jetë edhe më i ulët. Nga kjo rezulton se është siguria e ulët e sistemit të tregtisë elektronike ajo që është një faktor kufizues në zhvillimin e e-biznesit.
Zgjidhja e problemit të sigurimit të sigurisë ekonomike të tregtisë elektronike shoqërohet kryesisht me zgjidhjen e çështjeve të mbrojtjes së teknologjive të informacionit të përdorura në të, domethënë sigurimin e sigurisë së informacionit.
Integrimi i proceseve të biznesit në mjedisin e internetit çon në një ndryshim thelbësor në situatën e sigurisë. Krijimi i të drejtave dhe përgjegjësive bazuar në një dokument elektronik kërkon mbrojtje gjithëpërfshirëse nga të gjithë gamën e kërcënimeve, si nga dërguesi i dokumentit ashtu edhe nga marrësi i tij. Fatkeqësisht, menaxherët e ndërmarrjeve të tregtisë elektronike janë të vetëdijshëm për seriozitetin e kërcënimeve të informacionit dhe rëndësinë e organizimit të mbrojtjes së burimeve të tyre vetëm pasi këto të fundit të jenë subjekt i sulmeve të informacionit. Siç mund ta shihni, të gjitha pengesat e listuara kanë të bëjnë me fushën e sigurisë së informacionit.
Kërkesat bazë për kryerjen e transaksioneve tregtare përfshijnë konfidencialitetin, integritetin, vërtetimin, autorizimin, garancitë dhe fshehtësinë.
Kur arrihet siguria e informacionit, garantimi i disponueshmërisë së tij, konfidencialiteti, integriteti dhe rëndësia ligjore janë bazë detyrat . Çdo kërcënim duhet të merret parasysh në kuptimin se si mund të ndikojë në këto katër veti ose cilësi të informacionit të sigurt.
Konfidencialiteti do të thotë që informacioni i kufizuar duhet të jetë i aksesueshëm vetëm për ata për të cilët është menduar. Nën integriteti informacioni kuptohet si veti e ekzistencës së tij në një formë të pashtrembëruar. Disponueshmëria informacioni përcaktohet nga aftësia e sistemit për të ofruar akses në kohë dhe të papenguar në informacion për subjektet që kanë autoritetin e duhur për ta bërë këtë. Rëndësia juridike informacioni është bërë i rëndësishëm kohët e fundit, së bashku me krijimin e një kuadri rregullator për sigurinë e informacionit në vendin tonë.
Nëse katër kërkesat e para mund të plotësohen me mjete teknike, atëherë përmbushja e dy të fundit varet si nga mjetet teknike ashtu edhe nga përgjegjësia e individëve dhe organizatave, si dhe nga respektimi i ligjeve që mbrojnë konsumatorët nga mashtrimet e mundshme nga shitësit.
Si pjesë e sigurimit të sigurisë gjithëpërfshirëse të informacionit, para së gjithash, është e nevojshme të theksohet çelësi problemet në fushën e sigurisë elektronike biznesi të cilat përfshijnë:
mbrojtjen e informacionit gjatë transmetimit të tij nëpërmjet kanaleve të komunikimit; mbrojtjen e sistemeve kompjuterike, bazave të të dhënave dhe menaxhimit të dokumenteve elektronike;
sigurimi i ruajtjes afatgjatë të informacionit në formë elektronike; garantimi i sigurisë së transaksionit, konfidencialiteti i informacionit komercial, vërtetimi, mbrojtja e pronësisë intelektuale, etj.
Ekzistojnë disa lloje të kërcënimeve të tregtisë elektronike:
Depërtimi në sistem nga jashtë.
Akses i paautorizuar brenda kompanisë.
Përgjimi dhe leximi i qëllimshëm i informacionit.
Ndërprerje e qëllimshme e të dhënave ose rrjeteve.
Identifikimi i pasaktë (për qëllime mashtruese).
përdorues.
Hakimi i mbrojtjes së softuerit dhe harduerit.
Qasje e paautorizuar e përdoruesit nga një rrjet në tjetrin.
Sulmet me viruse.
Mohimi i shërbimit.
Mashtrimi financiar.
Për t'iu kundërvënë këtyre kërcënimeve, përdoren një sërë metodash të bazuara në teknologji të ndryshme, përkatësisht: enkriptimi - kodimi i të dhënave që pengon leximin ose shtrembërimin e tyre; nënshkrimet dixhitale që verifikojnë identitetin e dërguesit dhe marrësit; teknologjitë e fshehta duke përdorur çelësa elektronikë; muret e zjarrit; rrjete virtuale dhe private.
Asnjë metodë e mbrojtjes nuk është universale, për shembull, muret e zjarrit nuk kontrollojnë për viruse dhe nuk janë në gjendje të sigurojnë integritetin e të dhënave; Nuk ka asnjë mënyrë absolutisht të besueshme për të kundërshtuar hakerimin e mbrojtjes automatike, dhe është vetëm çështje kohe para se të hakerohet. Por koha që duhet për të thyer një mbrojtje të tillë, nga ana tjetër, varet nga cilësia e saj. Duhet thënë se softueri dhe hardueri për të mbrojtur lidhjet dhe aplikacionet në internet janë zhvilluar për një kohë të gjatë, megjithëse teknologjitë e reja po futen disi në mënyrë të pabarabartë.
E cila kërcënimet janë në pritë për një kompani të tregtisë elektronike në çdo fazë :
zëvendësimi i faqes së internetit të serverit të dyqanit elektronik (ridrejtimi i kërkesave në një server tjetër), vënia në dispozicion e të tretëve të informacionit për klientin, veçanërisht për kartat e tij të kreditit;
krijimi i porosive false dhe formave të ndryshme të mashtrimit nga ana e punonjësve të një dyqani elektronik, për shembull, manipulimi i bazave të të dhënave (statistikat tregojnë se më shumë se gjysma e incidenteve kompjuterike lidhen me aktivitetet e punonjësve të tyre);
përgjimi i të dhënave të transmetuara përmes rrjeteve të tregtisë elektronike;
depërtimi i sulmuesve në rrjetin e brendshëm të kompanisë dhe komprometimi i komponentëve të dyqaneve elektronike;
Po ngarkohet...
