ความปลอดภัยของข้อมูลในระบบอีคอมเมิร์ซ “ความปลอดภัยของการค้าอิเล็กทรอนิกส์ ทิศทางหลักของการปกป้องข้อมูล

บทนำ……………………………………………………………………..…3
1.พาณิชย์อิเล็กทรอนิกส์และประวัติความเป็นมาของการพัฒนา……………………………….............. ..5
1.1. ประวัติความเป็นมาของอีคอมเมิร์ซ…………………………………………...6
2. ความปลอดภัยของอีคอมเมิร์ซ……………………………..8
2.1. ความเสี่ยงและภัยคุกคาม………………………………………….…… ...11
บทสรุป…………………………………………………………………….17
รายการอ้างอิง………………………………………………………………………... 20

การแนะนำ

อินเทอร์เน็ตทั่วโลกทำให้บริษัททุกขนาดสามารถเข้าถึงอีคอมเมิร์ซได้ หากก่อนหน้านี้องค์กรการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์จำเป็นต้องมีการลงทุนจำนวนมากในโครงสร้างพื้นฐานการสื่อสารและเป็นไปได้สำหรับบริษัทขนาดใหญ่เท่านั้น การใช้อินเทอร์เน็ตในปัจจุบันช่วยให้บริษัทขนาดเล็กสามารถเข้าร่วมในตำแหน่ง "ผู้ค้าทางอิเล็กทรอนิกส์" ได้ หน้าร้านอิเล็กทรอนิกส์บนเวิลด์ไวด์เว็บเปิดโอกาสให้บริษัทต่างๆ สามารถดึงดูดลูกค้าจากทั่วทุกมุมโลก ธุรกิจออนไลน์ดังกล่าวก่อให้เกิดช่องทางการขายใหม่ - "เสมือนจริง" ซึ่งแทบไม่ต้องใช้เงินลงทุนจำนวนมากเลย หากข้อมูล บริการ หรือผลิตภัณฑ์ (เช่น ซอฟต์แวร์) สามารถจัดส่งผ่านทางเว็บได้ กระบวนการขายทั้งหมด (รวมถึงการชำระเงิน) ก็สามารถเกิดขึ้นทางออนไลน์ได้
คำจำกัดความของอีคอมเมิร์ซไม่เพียงแต่รวมถึงระบบที่เน้นอินเทอร์เน็ตเท่านั้น แต่ยังรวมถึง "ร้านค้าอิเล็กทรอนิกส์" ที่ใช้สภาพแวดล้อมการสื่อสารอื่น ๆ เช่น BBS, VAN เป็นต้น ในเวลาเดียวกัน ขั้นตอนการขายที่เริ่มต้นโดยข้อมูลจาก WWW แต่การใช้แฟกซ์ โทรศัพท์ ฯลฯ เพื่อการแลกเปลี่ยนข้อมูล สามารถจัดได้เพียงบางส่วนเท่านั้นเป็นอีคอมเมิร์ซ นอกจากนี้เรายังทราบด้วยว่าแม้ว่า WWW จะเป็นพื้นฐานทางเทคโนโลยีของอีคอมเมิร์ซ แต่ระบบจำนวนหนึ่งก็ใช้ความสามารถในการสื่อสารอื่น ๆ ดังนั้นการร้องขอให้ผู้ขายชี้แจงพารามิเตอร์ผลิตภัณฑ์หรือสั่งซื้อก็สามารถส่งผ่านทางอีเมลได้เช่นกัน
ปัจจุบันวิธีชำระเงินหลักสำหรับการซื้อสินค้าออนไลน์คือบัตรเครดิต อย่างไรก็ตาม เครื่องมือการชำระเงินใหม่ๆ ก็กำลังเข้ามามีบทบาทเช่นกัน เช่น สมาร์ทการ์ด เงินสดดิจิทัล ไมโครเพย์เมนต์ และเช็คอิเล็กทรอนิกส์
อีคอมเมิร์ซไม่เพียงแต่รวมถึงธุรกรรมออนไลน์เท่านั้น พื้นที่ที่ครอบคลุมโดยแนวคิดนี้ยังต้องรวมถึงกิจกรรมต่างๆ เช่น การทำวิจัยการตลาด การระบุโอกาสและคู่ค้า การรักษาความสัมพันธ์กับซัพพลายเออร์และผู้บริโภค การจัดการการไหลของเอกสาร เป็นต้น ดังนั้น อีคอมเมิร์ซจึงเป็นแนวคิดที่ซับซ้อนและรวมข้อมูลการแลกเปลี่ยนทางอิเล็กทรอนิกส์เป็นหนึ่งเดียว ของส่วนประกอบ

อีคอมเมิร์ซและประวัติความเป็นมาของการพัฒนา

อีคอมเมิร์ซเป็นกิจกรรมทางเศรษฐกิจประเภทหนึ่งที่ส่งเสริมสินค้าและบริการจากผู้ผลิตถึงผู้บริโภคผ่านเครือข่ายคอมพิวเตอร์อิเล็กทรอนิกส์ กล่าวอีกนัยหนึ่ง อีคอมเมิร์ซคือการตลาด การซื้อและการขายสินค้าและบริการผ่านเครือข่ายคอมพิวเตอร์ ซึ่งส่วนใหญ่เป็นอินเทอร์เน็ต อีคอมเมิร์ซมอบโอกาสใหม่ในการปรับปรุงประสิทธิภาพของกิจกรรมเชิงพาณิชย์โดยทั่วไป
แตกต่างจากการค้าแบบดั้งเดิม อีคอมเมิร์ซมอบโอกาสต่อไปนี้ให้กับบริษัทต่างๆ:
ก) ขายผลิตภัณฑ์ของคุณผ่านทางอินเทอร์เน็ต
B) พัฒนาและประสานงานความสัมพันธ์กับผู้บริโภคและซัพพลายเออร์
B) แลกเปลี่ยนสินค้าและบริการทางอิเล็กทรอนิกส์
D) ลดราคาการส่งมอบผลิตภัณฑ์ดิจิทัลและการสนับสนุนลูกค้าหลังการขาย
D) ตอบสนองอย่างรวดเร็วต่อการเปลี่ยนแปลงของตลาด
E) ลดต้นทุนค่าโสหุ้ย;
G) ปรับปรุงการบริการลูกค้าและแนะนำบริการของคุณเองให้กับลูกค้า
H) ขยายวงผู้บริโภค
I) คำนึงถึงความต้องการส่วนบุคคลของผู้ซื้อ
อีคอมเมิร์ซช่วยให้ผู้ซื้อสามารถ:
ก) ซื้อสินค้าได้ทุกที่ทุกเวลา
B) ทำการวิเคราะห์เปรียบเทียบราคาและเลือกราคาที่ดีที่สุด
C) เข้าถึงผลิตภัณฑ์ที่หลากหลายพร้อมกัน
D) เลือกกลไกที่สะดวกในการซื้อ
D) รับข้อมูลและข่าวสารขึ้นอยู่กับความชอบของคุณ
1.1 ประวัติความเป็นมาของอีคอมเมิร์ซ

ระบบอีคอมเมิร์ซระบบแรกปรากฏขึ้นในทศวรรษ 1960 ในสหรัฐอเมริกา ใช้ในบริษัทขนส่งเพื่อแลกเปลี่ยนข้อมูลระหว่างบริการต่างๆ ในการเตรียมเที่ยวบินและการจองตั๋ว
ในขั้นต้น การค้าดังกล่าวดำเนินการโดยใช้เครือข่ายภายนอกอินเทอร์เน็ต โดยใช้มาตรฐานพิเศษสำหรับการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ระหว่างองค์กร
ในช่วงปลายทศวรรษ 1960 มีมาตรฐานอุตสาหกรรมสี่มาตรฐานในสหรัฐอเมริกาสำหรับการแลกเปลี่ยนข้อมูลระหว่างบริษัทขนส่งต่างๆ เพื่อรวมมาตรฐานเหล่านี้เข้าด้วยกัน จึงได้มีการจัดตั้งคณะกรรมการพิเศษด้านข้อมูลการขนส่งขึ้นในปี พ.ศ. 2511 ผลงานดังกล่าวเป็นพื้นฐานของมาตรฐาน EDI ใหม่
ในทศวรรษ 1970 เหตุการณ์คล้าย ๆ กันนี้ได้เกิดขึ้นในอังกฤษ ในประเทศนี้ การใช้งาน EDI หลักไม่ใช่การขนส่ง แต่เป็นการค้า ชุดข้อกำหนดของ Tradacoms ที่เลือกไว้ที่นี่ได้รับการรับรองโดยคณะกรรมาธิการเศรษฐกิจแห่งสหประชาชาติสำหรับยุโรป เพื่อเป็นมาตรฐานสำหรับการแลกเปลี่ยนข้อมูลในองค์กรการค้าระหว่างประเทศ
ในช่วงทศวรรษที่ 1980 งานเริ่มผสมผสานมาตรฐานยุโรปและอเมริกาเข้าด้วยกัน จากผลการดำเนินงานดังกล่าว การประชุมครั้งที่ 42 ของคณะทำงานว่าด้วยการอำนวยความสะดวกทางการค้าระหว่างประเทศในเดือนกันยายน พ.ศ. 2539 ได้รับรองข้อแนะนำหมายเลข 25 “การใช้มาตรฐานสหประชาชาติเพื่อการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ในการบริหาร การพาณิชย์ และการขนส่ง”
ดังนั้น. ในช่วงต้นทศวรรษ 1990 มาตรฐาน EDI-FACT เกิดขึ้นและได้รับการรับรองโดย ISO (ISO 9735)
แต่การควบรวมมาตรฐานของอเมริกาและยุโรปครั้งสุดท้ายไม่ได้เกิดขึ้น โอกาสใหม่ที่มีแนวโน้มมากขึ้นได้เกิดขึ้นสำหรับการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ – การแลกเปลี่ยนข้อมูลผ่านทางอินเทอร์เน็ต
การพัฒนาอินเทอร์เน็ตที่มีต้นทุนต่ำในการส่งข้อมูลทำให้ระบบ EDI มีความทันสมัยอย่างเร่งด่วน ด้วยเหตุนี้ ในช่วงกลางทศวรรษ 1990 จึงมีการพัฒนามาตรฐานอื่น - EDIFACT ผ่านอินเทอร์เน็ต (EDIINT) ซึ่งอธิบายวิธีการส่งธุรกรรม EDI โดยใช้โปรโตคอลอีเมลที่ปลอดภัย SMTP/S-MIME
สำหรับการเกิดขึ้นและการเติบโตของความนิยมของอีคอมเมิร์ซ มีข้อกำหนดเบื้องต้นด้านประชากรศาสตร์และเทคโนโลยีหลายประการ เช่น:
ก) การเข้าถึงเทคโนโลยีสารสนเทศอย่างกว้างขวาง โดยเฉพาะคอมพิวเตอร์และอินเทอร์เน็ต
b) การเพิ่มระดับการศึกษาของสังคมและส่งผลให้การจัดการเทคโนโลยีมีอิสระมากขึ้น
ค) ความก้าวหน้าทางเทคโนโลยีและการปฏิวัติทางดิจิทัลทำให้อุปกรณ์ดิจิทัลจำนวนมากสามารถโต้ตอบซึ่งกันและกัน เช่น คอมพิวเตอร์ โทรศัพท์มือถือ ฯลฯ
ง) โลกาภิวัตน์ เศรษฐกิจแบบเปิด การแข่งขันในระดับโลก
e) การเข้าถึงอีคอมเมิร์ซสำหรับทุกคน ทุกเวลา และทุกที่
f) ความปรารถนาที่จะประหยัดเวลา
g) การเติบโตของสินค้าและบริการ ความต้องการสินค้าและบริการพิเศษที่เพิ่มขึ้น

ความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์

ปัญหาหลักประการหนึ่งของอีคอมเมิร์ซในปัจจุบันยังคงเป็นปัญหาด้านความปลอดภัย เช่น การลดความเสี่ยงและการปกป้องข้อมูล
สาเหตุของการหยุดชะงักในการทำงานปกติของบริษัทบนอินเทอร์เน็ตอาจเป็น: ไวรัสคอมพิวเตอร์ การฉ้อโกงที่นำไปสู่การสูญเสียทางการเงิน การขโมยข้อมูลที่เป็นความลับ การแทรกแซงที่ผิดกฎหมายในไฟล์ที่มีข้อมูลที่เป็นความลับเกี่ยวกับผู้บริโภค ฯลฯ
ระดับการปกป้องเว็บไซต์ของบริษัทอิเล็กทรอนิกส์ขึ้นอยู่กับระดับการรักษาความลับของข้อมูลและความจำเป็นในการปฏิบัติตามข้อกำหนด ตัวอย่างเช่น หากมีการป้อนหมายเลขบัตรเครดิตบนเว็บไซต์ ก็จำเป็นต้องรับประกันระดับการป้องกันสูงสุดสำหรับเว็บเซิร์ฟเวอร์
งานในการรักษาความปลอดภัยในอีคอมเมิร์ซขึ้นอยู่กับการรับรองความถูกต้องของผู้ใช้ การรักษาความลับและความสมบูรณ์ของข้อมูล: การรับรองความถูกต้อง - การตรวจสอบความถูกต้องของผู้ใช้ การรักษาความลับ – สร้างความมั่นใจในการเก็บรักษาข้อมูลส่วนตัวที่ผู้ใช้ให้ไว้ ความสมบูรณ์ของข้อมูล - ไม่มีการบิดเบือนในข้อมูลที่ส่ง
แฮกเกอร์และไวรัสสามารถก่อให้เกิดภัยคุกคามต่อความสมบูรณ์ของข้อมูลบนเว็บเซิร์ฟเวอร์ได้
แฮกเกอร์เจาะเข้าไปในคอมพิวเตอร์และเซิร์ฟเวอร์ที่มีการป้องกันอย่างอ่อนแอ และติดตั้งโปรแกรมพิเศษ - โปรแกรมที่มองไม่เห็นซึ่งตรวจจับได้ยาก โดยทั่วไปแล้วโปรแกรมที่มองไม่เห็นนั้นจะไม่เป็นอันตรายต่อเว็บไซต์ แต่สร้างความแออัดบนเครือข่ายอย่างมาก แฮกเกอร์กำหนดเป้าหมายของการโจมตีและเปิดใช้งานโปรแกรมที่ติดตั้งไว้ล่วงหน้า โดยส่งคำสั่งทางอินเทอร์เน็ตไปยังคอมพิวเตอร์หลายเครื่อง สิ่งนี้จะเริ่มต้นการโจมตีที่โอเวอร์โหลดเครือข่ายขององค์กรเชิงพาณิชย์
การละเมิดความปลอดภัยที่ร้ายแรงอีกประเภทหนึ่งของคอมพิวเตอร์และเซิร์ฟเวอร์บนอินเทอร์เน็ตคือไวรัส ไวรัสละเมิดความสมบูรณ์ของระบบและทำให้มาตรการรักษาความปลอดภัยข้อมูลเข้าใจผิด วิธีที่ดีที่สุดในการป้องกันไวรัสคือการติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสเป็นระยะ รวมถึงการใช้ไฟร์วอลล์ ไฟร์วอลล์เป็นตัวกรองที่ติดตั้งระหว่างเครือข่ายองค์กรและอินเทอร์เน็ตเพื่อปกป้องข้อมูลและไฟล์จากการเข้าถึงโดยไม่ได้รับอนุญาต และเพื่อให้เข้าถึงได้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น ดังนั้นไฟร์วอลล์จึงป้องกันไวรัสคอมพิวเตอร์และแฮกเกอร์ไม่ให้เข้าสู่เครือข่ายองค์กรและปกป้องจากอิทธิพลภายนอกเมื่อเชื่อมต่อกับอินเทอร์เน็ต
เมื่อใช้อีคอมเมิร์ซ ปัญหาที่สำคัญที่สุดประการหนึ่งคือการรักษาความลับของข้อมูล ข้อมูลที่ผู้ใช้ให้กับบริษัทจะต้องได้รับการคุ้มครองอย่างน่าเชื่อถือ วิธีหนึ่งที่จะรับประกันการส่งข้อมูลที่ปลอดภัยและเป็นความลับผ่านเครือข่ายคอมพิวเตอร์คือการเข้ารหัส เช่น การเข้ารหัสหรือการเข้ารหัสข้อมูลเพื่อให้เฉพาะฝ่ายที่เกี่ยวข้องในธุรกรรมหนึ่งๆ เท่านั้นที่สามารถอ่านข้อมูลได้
เมื่อเข้ารหัส ผู้ส่งข้อความจะแปลงข้อความเป็นชุดอักขระที่ไม่สามารถอ่านได้โดยไม่ต้องใช้คีย์พิเศษที่ผู้รับรู้จัก กุญแจสำคัญของการเข้ารหัสคือลำดับของอักขระที่จัดเก็บไว้ในฮาร์ดไดรฟ์หรือฟล็อปปี้ดิสก์ของคอมพิวเตอร์ ระดับความปลอดภัยของข้อมูลขึ้นอยู่กับอัลกอริธึมการเข้ารหัสและความยาวของคีย์ซึ่งวัดเป็นบิต
อัลกอริธึมการเข้ารหัสมีสองประเภท:

สมมาตรซึ่งใช้คีย์เดียวกันซึ่งทั้งสองฝ่ายรู้จักใช้สำหรับทั้งการเข้ารหัสและถอดรหัสข้อมูล
ไม่สมมาตร ซึ่งใช้สองคีย์ อันหนึ่งสำหรับการเข้ารหัสและอีกอันสำหรับการถอดรหัส หนึ่งในคีย์เหล่านี้เป็นส่วนตัว (ลับ) ส่วนที่สองเปิด (สาธารณะ)

หนึ่งในวิธีการตรวจสอบความถูกต้องของผู้ส่งข้อความที่รู้จักกันดีและมีแนวโน้มมากที่สุดคือลายเซ็นดิจิทัลอิเล็กทรอนิกส์ (EDS) ซึ่งเทียบเท่ากับลายเซ็นอิเล็กทรอนิกส์ที่เขียนด้วยลายมือ ลายเซ็นดิจิทัลชุดแรกถูกเสนอในปี 1976 โดย Whitfield Diffie จากมหาวิทยาลัยสแตนฟอร์ด กฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซีย "ในลายเซ็นดิจิทัลอิเล็กทรอนิกส์" ระบุว่าลายเซ็นดิจิทัลอิเล็กทรอนิกส์เป็นสิ่งจำเป็นสำหรับเอกสารอิเล็กทรอนิกส์ที่มีจุดประสงค์เพื่อปกป้องเอกสารนี้จากการปลอมแปลง ซึ่งได้มาจากผลของการแปลงข้อมูลด้วยการเข้ารหัสโดยใช้คีย์ส่วนตัวของอิเล็กทรอนิกส์ ลายเซ็นดิจิทัลและอนุญาตให้ระบุเจ้าของใบรับรองคีย์ลายเซ็นและยังสร้างการไม่มีการบิดเบือนข้อมูลในเอกสารอิเล็กทรอนิกส์
กระบวนการสมัครลายเซ็นดิจิทัลอิเล็กทรอนิกส์มีดังนี้:
1. ผู้ส่งสร้างข้อความและเข้ารหัสด้วยรหัสส่วนตัว ซึ่งในขณะเดียวกันก็เป็นลายเซ็นดิจิทัลอิเล็กทรอนิกส์ของผู้ส่ง ในกรณีนี้ ทั้งข้อความในการสื่อสารและลายเซ็นดิจิทัลที่แนบมาท้ายเอกสารจะถูกเข้ารหัส
2. ผู้ส่งส่งจดหมายเข้ารหัสและกุญแจสาธารณะผ่านช่องทางการสื่อสารไปยังผู้รับ
3. ผู้รับถอดรหัสข้อความโดยใช้กุญแจสาธารณะของผู้ส่ง
4. โดยปกติจะใช้หนึ่งในฟังก์ชันแฮชที่มีอยู่ร่วมกับลายเซ็นดิจิทัล ฟังก์ชัน HASH จะสร้างสตริงอักขระที่เรียกว่าสรุปข้อความขณะประมวลผลข้อความ ผู้ส่งจะสร้างข้อมูลสรุปของข้อความ เข้ารหัส และส่งต่อไปยังผู้รับด้วย ผู้รับประมวลผลข้อความด้วยฟังก์ชัน HASH เดียวกันและรับข้อมูลสรุปของข้อความด้วย หากสรุปข้อความทั้งสองตรงกัน ข้อความนั้นก็จะได้รับโดยไม่มีความเสียหาย
5. ใบรับรองดิจิทัลใช้เพื่อยืนยันความเป็นเจ้าของกุญแจสาธารณะสำหรับบุคคลหรือองค์กรเชิงพาณิชย์โดยเฉพาะ ใบรับรองดิจิทัลคือเอกสารที่ออกโดยหน่วยงานออกใบรับรองเพื่อยืนยันตัวตนของบุคคลหรือองค์กรที่ระบุโดยการตรวจสอบชื่อและรหัสสาธารณะ หากต้องการขอรับใบรับรองดิจิทัล คุณต้องติดต่อศูนย์ออกใบรับรองและให้ข้อมูลที่จำเป็น ผู้ออกใบรับรองแต่ละรายจะกำหนดราคาของตนเอง และตามกฎแล้วจะออกใบรับรองดิจิทัลเป็นเวลาหนึ่งปีโดยมีความเป็นไปได้ที่จะต่ออายุหลังจากชำระเงินในปีถัดไป
เพื่อแก้ไขปัญหาด้านความปลอดภัย บริษัทอีคอมเมิร์ซใช้เทคโนโลยี SSL และ SET
โปรโตคอล SSL เป็นโปรโตคอลหลักที่ใช้เพื่อปกป้องข้อมูลที่ส่งผ่านอินเทอร์เน็ต โปรโตคอลนี้ใช้การผสมผสานระหว่างอัลกอริธึมการเข้ารหัสแบบอสมมาตรและแบบสมมาตร โดยมีฟังก์ชันหลักสามฟังก์ชัน: การตรวจสอบความถูกต้องของเซิร์ฟเวอร์ การตรวจสอบความถูกต้องของลูกค้า และการเชื่อมต่อที่เข้ารหัส SSL
โปรโตคอล SET เป็นโปรโตคอลที่ใช้ในการทำธุรกรรมระหว่างธนาคารพาณิชย์และลูกค้าบัตรเครดิต

ความเสี่ยงและภัยคุกคาม

ธุรกิจใดๆ ที่เกี่ยวข้องกับความเสี่ยงที่เกิดจากการแข่งขัน การโจรกรรม ความไม่มั่นคงของความชอบสาธารณะ ภัยธรรมชาติ ฯลฯ อย่างไรก็ตาม ความเสี่ยงที่เกี่ยวข้องกับอีคอมเมิร์ซมีลักษณะและแหล่งที่มาของตัวเอง ได้แก่:
หัวขโมย.
ไม่สามารถดึงดูดเพื่อนร่วมทางได้
ความล้มเหลวของอุปกรณ์
ไฟฟ้า สายสื่อสาร หรือเครือข่ายขัดข้อง
ขึ้นอยู่กับบริการจัดส่ง
การแข่งขันที่รุนแรง.
ข้อผิดพลาดของซอฟต์แวร์
การเปลี่ยนแปลงนโยบายและภาษี
ความจุของระบบมีจำกัด

พวกหัวขโมย
ภัยคุกคามที่ได้รับความนิยมมากที่สุดต่ออีคอมเมิร์ซมาจากแฮกเกอร์คอมพิวเตอร์ องค์กรใดๆ ก็ตามที่ตกอยู่ภายใต้ภัยคุกคามจากการโจมตีของอาชญากร และองค์กรอีคอมเมิร์ซขนาดใหญ่ดึงดูดความสนใจของแฮกเกอร์คอมพิวเตอร์ในระดับทักษะต่างๆ
เหตุผลของความสนใจนี้มีหลากหลาย ในบางกรณี มันเป็นเพียง "ความสนใจด้านกีฬาอย่างแท้จริง" ในบางกรณีเป็นความปรารถนาที่จะทำอันตราย ขโมยเงิน หรือซื้อสินค้าหรือบริการฟรี
ความปลอดภัยของไซต์ได้รับการรับรองโดยการรวมกันของมาตรการต่อไปนี้:
สำรองข้อมูลที่สำคัญ
นโยบายด้านบุคลากรที่อนุญาตให้คุณดึงดูดเฉพาะคนที่มีจิตสำนึกให้มาทำงานและส่งเสริมให้มีจิตสำนึกของพนักงาน ความพยายามในการแฮ็กที่อันตรายที่สุดมาจากภายในบริษัท
การใช้ซอฟต์แวร์ที่มีความสามารถในการปกป้องข้อมูลและการอัปเดตอย่างทันท่วงที
ฝึกอบรมบุคลากรเพื่อระบุเป้าหมายและรับรู้จุดอ่อนของระบบ
การตรวจสอบและการบันทึกเพื่อตรวจจับความพยายามในการแฮ็กที่สำเร็จและไม่สำเร็จ
โดยทั่วไปแล้ว การแฮ็กจะประสบความสำเร็จได้เนื่องจากรหัสผ่านที่เดาง่าย ข้อผิดพลาดในการกำหนดค่าทั่วไป และความล้มเหลวในการอัปเดตเวอร์ชันซอฟต์แวร์ตามเวลาที่กำหนด เพื่อป้องกันตัวเองจากหัวขโมยที่ไม่ซับซ้อน การใช้มาตรการที่ค่อนข้างง่ายก็เพียงพอแล้ว ทางเลือกสุดท้ายควรมีสำเนาสำรองของข้อมูลสำคัญเสมอ

ไม่สามารถดึงดูดเพื่อนร่วมทางได้
แม้ว่าการโจมตีของแฮ็กเกอร์จะเป็นข้อกังวลที่ใหญ่ที่สุด แต่ความล้มเหลวของอีคอมเมิร์ซส่วนใหญ่ยังคงเกิดจากปัจจัยทางเศรษฐกิจแบบเดิมๆ การสร้างและทำการตลาดไซต์อีคอมเมิร์ซขนาดใหญ่ต้องใช้เงินจำนวนมาก บริษัทต่างๆ ชอบการลงทุนระยะสั้น โดยนำเสนอการเติบโตทั้งลูกค้าและรายได้ทันทีเมื่อมีการสร้างแบรนด์ในตลาด
การล่มสลายของอีคอมเมิร์ซนำไปสู่การล่มสลายของบริษัทหลายแห่งที่เชี่ยวชาญเฉพาะด้านนี้เท่านั้น

ความล้มเหลวของอุปกรณ์
เห็นได้ชัดว่าความล้มเหลวของส่วนสำคัญของคอมพิวเตอร์เครื่องหนึ่งของ บริษัท ที่เน้นกิจกรรมบนอินเทอร์เน็ตอาจทำให้เกิดความเสียหายอย่างมีนัยสำคัญได้
การป้องกันการหยุดทำงานสำหรับไซต์ที่ทำงานภายใต้ภาระงานสูงหรือทำหน้าที่สำคัญนั้นมีให้โดยการทำซ้ำ ดังนั้นความล้มเหลวของส่วนประกอบใดๆ จะไม่ส่งผลกระทบต่อการทำงานของทั้งระบบ อย่างไรก็ตาม นี่ก็จำเป็นต้องประเมินความสูญเสียจากการหยุดทำงานที่อาจเกิดขึ้นเมื่อเปรียบเทียบกับต้นทุนในการซื้ออุปกรณ์เพิ่มเติม
คอมพิวเตอร์จำนวนมากที่ใช้ Apache, PHP และ MySQL ติดตั้งง่าย นอกจากนี้ กลไกการจำลองแบบของ MySQL ยังช่วยให้สามารถซิงโครไนซ์ข้อมูลทั่วไประหว่างฐานข้อมูลต่างๆ ได้ อย่างไรก็ตาม คอมพิวเตอร์จำนวนมากยังหมายถึงต้นทุนที่สูงในการดูแลรักษาอุปกรณ์ โครงสร้างพื้นฐานเครือข่าย และโฮสติ้งอีกด้วย
ไฟฟ้า สายสื่อสาร เครือข่าย และบริการจัดส่งขัดข้อง
การพึ่งพาอินเทอร์เน็ตหมายถึงการพึ่งพาผู้ให้บริการที่เชื่อมต่อถึงกันหลายราย ดังนั้นหากการเชื่อมต่อกับส่วนอื่นๆ ของโลกพังกะทันหัน ก็ไม่ต้องทำอะไรนอกจากรอให้กู้คืน เช่นเดียวกับการไฟฟ้าดับและการนัดหยุดงานหรือไฟฟ้าดับและการนัดหยุดงานอื่น ๆ หรือการหยุดชะงักอื่น ๆ ต่อบริษัทจัดส่ง
หากคุณมีงบประมาณเพียงพอ คุณสามารถติดต่อกับผู้ให้บริการหลายรายได้ สิ่งนี้ก่อให้เกิดค่าใช้จ่ายเพิ่มเติม แต่รับประกันการทำงานอย่างต่อเนื่องในกรณีที่หนึ่งในนั้นล้มเหลว สามารถป้องกันไฟฟ้าดับขั้นรุนแรงได้ด้วยการติดตั้งเครื่องสำรองไฟ

การแข่งขันที่รุนแรง
หากคุณเปิดแผงขายของบนถนน การประเมินสภาพแวดล้อมการแข่งขันนั้นไม่ใช่เรื่องยากเป็นพิเศษ คู่แข่งคือทุกคนที่ขายสินค้าชนิดเดียวกันในสายตา ในกรณีของอีคอมเมิร์ซ สถานการณ์ค่อนข้างซับซ้อนกว่า
ขึ้นอยู่กับค่าขนส่ง ความผันผวนของสกุลเงิน และความแตกต่างของค่าแรง คู่แข่งอาจอยู่ที่ใดก็ได้ อินเทอร์เน็ตเป็นสภาพแวดล้อมที่มีการแข่งขันสูงและมีการพัฒนาอย่างรวดเร็ว ในภาคธุรกิจที่ได้รับความนิยม คู่แข่งรายใหม่เกิดขึ้นเกือบทุกวัน
ความเสี่ยงด้านการแข่งขันเป็นเรื่องยากที่จะประเมิน กลยุทธ์ที่ถูกต้องที่สุดคือการสนับสนุนเทคโนโลยีในปัจจุบัน

ข้อผิดพลาดของซอฟต์แวร์
เมื่อธุรกิจต้องพึ่งพาซอฟต์แวร์ ก็จะเสี่ยงต่อจุดบกพร่องในซอฟต์แวร์นั้น

โอกาสที่จะเกิดความล้มเหลวร้ายแรงสามารถลดลงได้โดยการติดตั้งซอฟต์แวร์ที่เชื่อถือได้ การทดสอบหลังจากการเปลี่ยนฮาร์ดแวร์ที่ผิดพลาดแต่ละครั้ง และใช้ขั้นตอนการทดสอบอย่างเป็นทางการ เป็นสิ่งสำคัญมากที่จะต้องนำนวัตกรรมใดๆ เข้าสู่ระบบพร้อมกับการทดสอบอย่างละเอียด
เพื่อลดความเสียหายที่เกิดจากความล้มเหลวของซอฟต์แวร์ คุณควรสำรองข้อมูลทั้งหมดทันที เมื่อทำการเปลี่ยนแปลงใด ๆ คุณต้องบันทึกการกำหนดค่าโปรแกรมก่อนหน้า เพื่อตรวจจับความผิดปกติที่อาจเกิดขึ้นได้อย่างรวดเร็ว จำเป็นต้องมีการตรวจสอบระบบอย่างต่อเนื่อง

การเปลี่ยนแปลงนโยบายภาษี
ในหลายประเทศ กิจกรรม e-business ไม่ได้ถูกกำหนดไว้หรือไม่ได้กำหนดไว้อย่างเพียงพอตามกฎหมาย อย่างไรก็ตาม สถานการณ์นี้ไม่สามารถคงอยู่ตลอดไปได้ และการยุติปัญหาจะนำไปสู่ปัญหาหลายประการที่อาจนำไปสู่การปิดกิจการบางแห่ง นอกจากนี้ยังมีอันตรายจากภาษีที่สูงขึ้นอยู่เสมอ
ปัญหาเหล่านี้ไม่สามารถหลีกเลี่ยงได้ ในสถานการณ์นี้ แนวทางปฏิบัติที่สมเหตุสมผลเพียงอย่างเดียวคือการติดตามสถานการณ์อย่างระมัดระวังและนำกิจกรรมขององค์กรไปตามกฎหมาย ควรสำรวจความเป็นไปได้ของการล็อบบี้เพื่อผลประโยชน์ของคุณเองด้วย

ความจุของระบบมีจำกัด
ในขั้นตอนการออกแบบระบบ คุณควรพิจารณาถึงความเป็นไปได้ในการเติบโตของระบบอย่างแน่นอน ความสำเร็จเชื่อมโยงกับโหลดอย่างแยกไม่ออก ดังนั้นระบบจึงต้องขยายอุปกรณ์ได้
การเพิ่มประสิทธิภาพประสิทธิภาพที่จำกัดสามารถทำได้โดยการเปลี่ยนฮาร์ดแวร์ แต่ความเร็วของคอมพิวเตอร์ที่ทันสมัยที่สุดก็มีขีดจำกัด ดังนั้นซอฟต์แวร์จึงต้องมีความสามารถในการกระจายโหลดไปยังหลายระบบเมื่อถึงขีดจำกัดที่ระบุ ตัวอย่างเช่น ระบบการจัดการฐานข้อมูลจะต้องสามารถประมวลผลคำขอจากเครื่องหลายเครื่องพร้อมกันได้
การขยายระบบนั้นไม่ใช่เรื่องยาก แต่การวางแผนอย่างทันท่วงทีในขั้นตอนการพัฒนาช่วยให้คุณมองเห็นปัญหามากมายที่เกี่ยวข้องกับการเพิ่มจำนวนลูกค้าและป้องกันล่วงหน้า

บทสรุป
แม้ว่าการเชื่อมต่ออินเทอร์เน็ตจะให้ประโยชน์มหาศาลเนื่องจากการเข้าถึงข้อมูลจำนวนมหาศาล แต่ก็เป็นอันตรายต่อไซต์ที่มีระดับความปลอดภัยต่ำเช่นกัน อินเทอร์เน็ตประสบปัญหาด้านความปลอดภัยร้ายแรง ซึ่งหากละเลย อาจก่อให้เกิดหายนะสำหรับไซต์ที่ไม่ได้เตรียมตัวไว้ ข้อผิดพลาดในการออกแบบ TCP/IP ความซับซ้อนของการดูแลโฮสต์ ช่องโหว่ในโปรแกรม และปัจจัยอื่นๆ หลายประการรวมกันทำให้ไซต์ที่ไม่ได้รับการป้องกันเสี่ยงต่อการกระทำของผู้โจมตี
องค์กรต้องตอบคำถามต่อไปนี้เพื่อพิจารณาผลกระทบด้านความปลอดภัยของการเชื่อมต่ออินเทอร์เน็ตอย่างเหมาะสม:
แฮกเกอร์สามารถทำลายระบบภายในได้หรือไม่?
ข้อมูลสำคัญขององค์กรอาจถูกบุกรุก (แก้ไขหรืออ่าน) ในขณะที่ถูกส่งผ่านอินเทอร์เน็ตได้หรือไม่?
เป็นไปได้ไหมที่จะเข้าไปยุ่งเกี่ยวกับการทำงานขององค์กร?
นี่เป็นคำถามที่สำคัญทั้งหมด มีวิธีแก้ไขปัญหาด้านเทคนิคมากมายเพื่อต่อสู้กับปัญหาด้านความปลอดภัยทางอินเทอร์เน็ตที่สำคัญ อย่างไรก็ตามพวกเขาทั้งหมดมาในราคา โซลูชันจำนวนมากจำกัดฟังก์ชันการทำงานเพื่อเพิ่มความปลอดภัย ส่วนอื่นๆ จำเป็นต้องมีการประนีประนอมที่สำคัญเกี่ยวกับความง่ายในการใช้งานอินเทอร์เน็ต ยังมีอีกหลายประเทศที่ต้องลงทุนทรัพยากรจำนวนมาก เช่น เวลาในการทำงานเพื่อดำเนินการและรักษาความปลอดภัย ตลอดจนเงินเพื่อซื้อและบำรุงรักษาอุปกรณ์และโปรแกรม
วัตถุประสงค์ของนโยบายความปลอดภัยทางอินเทอร์เน็ตคือการตัดสินใจว่าองค์กรจะปกป้องตนเองอย่างไร นโยบายมักจะประกอบด้วยสองส่วน - หลักการทั่วไปและกฎการปฏิบัติงานเฉพาะ (ซึ่งเทียบเท่ากับนโยบายเฉพาะที่อธิบายไว้ด้านล่าง) หลักการทั่วไปเป็นแนวทางในการรักษาความปลอดภัยทางอินเทอร์เน็ต กฎจะกำหนดว่าอะไรได้รับอนุญาตและสิ่งต้องห้าม กฎเกณฑ์อาจเสริมด้วยขั้นตอนเฉพาะและแนวปฏิบัติต่างๆ
เป็นความจริงที่ว่ามีนโยบายประเภทที่สามที่ปรากฏในเอกสารความปลอดภัยทางอินเทอร์เน็ต นี่เป็นแนวทางทางเทคนิค ในเอกสารเผยแพร่นี้ เราจะเข้าใจแนวทางทางเทคนิคว่าเป็นการวิเคราะห์ที่ช่วยในการนำหลักการและกฎเกณฑ์ของนโยบายไปใช้ โดยทั่วไปแล้ว มันเป็นเรื่องทางเทคนิคและซับซ้อนเกินกว่าที่ฝ่ายบริหารองค์กรจะเข้าใจ จึงไม่สามารถใช้ได้อย่างกว้างขวางเท่ากับนโยบาย อย่างไรก็ตาม เป็นสิ่งที่ขาดไม่ได้เมื่ออธิบายวิธีแก้ปัญหาที่เป็นไปได้ โดยระบุข้อเสียเปรียบที่เป็นองค์ประกอบที่จำเป็นในการอธิบายนโยบาย
เพื่อให้นโยบายอินเทอร์เน็ตมีประสิทธิผล ผู้กำหนดนโยบายจะต้องเข้าใจถึงข้อดีข้อเสียที่พวกเขาต้องทำ นโยบายนี้ไม่ควรขัดแย้งกับเอกสารกำกับดูแลอื่นๆ ขององค์กร เอกสารนี้พยายามให้ข้อมูลแก่ผู้เชี่ยวชาญด้านเทคนิคเพื่ออธิบายให้ผู้กำหนดนโยบายอินเทอร์เน็ตทราบ ประกอบด้วยการออกแบบนโยบายเบื้องต้น โดยขึ้นอยู่กับการตัดสินใจทางเทคนิคที่เฉพาะเจาะจง
อินเทอร์เน็ตเป็นทรัพยากรสำคัญที่เปลี่ยนแปลงวิธีการทำงานของผู้คนและองค์กรต่างๆ อย่างไรก็ตาม อินเทอร์เน็ตประสบปัญหาด้านความปลอดภัยที่ร้ายแรงและแพร่หลาย หลายองค์กรถูกโจมตีหรือตรวจสอบโดยผู้โจมตี ทำให้พวกเขาประสบความสูญเสียทางการเงินอย่างหนักและสูญเสียศักดิ์ศรี ในบางกรณี องค์กรถูกบังคับให้ตัดการเชื่อมต่ออินเทอร์เน็ตชั่วคราว และใช้เงินจำนวนมากในการแก้ไขปัญหาเกี่ยวกับการกำหนดค่าโฮสต์และเครือข่าย ไซต์ที่ไม่ทราบหรือเพิกเฉยต่อปัญหาเหล่านี้ทำให้ตัวเองเสี่ยงต่อการถูกโจมตีทางออนไลน์โดยผู้ไม่ประสงค์ดี แม้แต่ไซต์ที่ใช้มาตรการรักษาความปลอดภัยก็ยังต้องเผชิญกับอันตรายแบบเดียวกันเนื่องจากการเกิดขึ้นของช่องโหว่ใหม่ในโปรแกรมเครือข่ายและการคงอยู่ของผู้โจมตีบางราย
ปัญหาพื้นฐานคืออินเทอร์เน็ตไม่ได้ได้รับการออกแบบให้เป็นเครือข่ายที่ปลอดภัย ปัญหาบางประการใน TCP/IP เวอร์ชันปัจจุบันคือ:
ความสะดวกในการสกัดกั้นข้อมูลและการปลอมแปลงที่อยู่ของเครื่องบนเครือข่าย - ปริมาณการใช้อินเทอร์เน็ตจำนวนมากเป็นข้อมูลที่ไม่ได้เข้ารหัส อีเมล รหัสผ่าน และไฟล์สามารถดักจับได้โดยใช้โปรแกรมที่เข้าถึงได้ง่าย
ช่องโหว่ของเครื่องมือ TCP/IP - เครื่องมือ TCP/IP จำนวนหนึ่งไม่ได้ได้รับการออกแบบให้มีความปลอดภัยและสามารถถูกโจมตีโดยผู้โจมตีที่มีทักษะ เครื่องมือที่ใช้ในการทดสอบมีความเสี่ยงเป็นพิเศษ
ขาดนโยบาย - ไซต์หลายแห่งได้รับการกำหนดค่าโดยไม่รู้ตัวในลักษณะที่พวกเขาให้การเข้าถึงตัวเองอย่างกว้างขวางจากอินเทอร์เน็ต โดยไม่คำนึงถึงความเป็นไปได้ที่การเข้าถึงนี้ในทางที่ผิด ไซต์จำนวนมากอนุญาตให้ใช้บริการ TCP/IP มากกว่าที่จำเป็นในการทำงาน และไม่พยายามจำกัดการเข้าถึงข้อมูลเกี่ยวกับคอมพิวเตอร์ของตนที่สามารถช่วยเหลือผู้โจมตีได้
กำหนดค่าได้ยาก—การควบคุมการเข้าถึงโฮสต์มีความซับซ้อน มักจะเป็นเรื่องยากที่จะกำหนดค่าและตรวจสอบประสิทธิภาพของการติดตั้งอย่างถูกต้อง เครื่องมือที่ได้รับการกำหนดค่าอย่างไม่ถูกต้องโดยไม่ได้ตั้งใจอาจส่งผลให้มีการเข้าถึงโดยไม่ได้รับอนุญาต

รายชื่อวรรณกรรมที่ใช้แล้ว
1. วัสดุจากเซิร์ฟเวอร์เทคโนโลยีสารสนเทศ - http://www. citforum.ru
2. อีคอมเมิร์ซคืออะไร? V. Zavaleev ศูนย์เทคโนโลยีสารสนเทศ http://www.citforum.ru/ การตลาด/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. คันทาโรวิช เอ.เอ., ซาเรฟ วี.วี. หนังสือเรียนมหาวิทยาลัย: พาณิชย์อิเล็กทรอนิกส์ 2545, 320 หน้า.

- ไปยังรายการสิ่งพิมพ์

รับประกันความปลอดภัยของข้อมูลขององค์กรการค้า เครือข่ายการค้าปลีก และโครงสร้างพื้นฐานของพวกเขา

แนวโน้มปัจจุบันในการพัฒนาการค้าในรัสเซียนำไปสู่การรวมกิจการของบริษัทต่างๆ โดยการเพิ่มจำนวนองค์กรในองค์ประกอบ การรวมสินทรัพย์ของผู้ประกอบการต่างๆ การดำเนินการควบรวมกิจการ และการสร้างศูนย์กระจายสินค้าเครือข่าย ส่งผลให้ข้อกำหนดด้านเทคโนโลยีสารสนเทศและความสำคัญในการจัดการการค้ามีเพิ่มมากขึ้น การประมวลผลกระแสข้อมูลในบริษัทใดๆ ก็ตามต้องใช้ความเร็วสูงและความแม่นยำสูงสุด

รูปที่ 1.ข้อมูลหลักไหลเวียนอยู่ในระบบการจัดการของบริษัทเครือข่าย

การจัดการร้านค้าสมัยใหม่ องค์กรการค้าส่ง และเครือข่ายการจัดจำหน่ายเกี่ยวข้องกับการใช้ระบบอัตโนมัติสำหรับการค้า คลังสินค้า และการบัญชีแบบครบวงจร ปัจจุบัน ผู้จัดการตัดสินใจด้านการจัดการโดยอาศัยข้อมูลที่ได้รับจากระบบสารสนเทศ ดังนั้น ไม่ว่าโครงสร้างของบริษัทจะเป็นเช่นไร การบัญชีสำหรับสัญญา ความเคลื่อนไหวของสินค้าคงคลัง เงินสด และการบัญชี จะต้องดำเนินการในพื้นที่ข้อมูลเดียว

เพื่อให้การจัดการกระบวนการซื้อขายเป็นไปโดยอัตโนมัติ ระบบข้อมูลจะถูกสร้างขึ้นที่องค์กร ซึ่งอาจรวมถึง:

- ระบบบัญชีและการรายงานภายใน (ประกอบด้วยข้อมูลเกี่ยวกับปริมาณ โครงสร้างและความเร็วของการผลิตและการหมุนเวียนสินค้า ต้นทุนและความสูญเสียขององค์กร รายได้รวม กำไรสุทธิ ความสามารถในการทำกำไร ฯลฯ )
- ระบบข้อมูลการตลาด (ช่วยให้คุณติดตามสถานะปัจจุบัน แนวโน้ม และโอกาสในการพัฒนาตลาด) ระบบข้อมูลนี้ยังสามารถกำหนดได้ว่าเป็นระบบอัจฉริยะเพราะว่า ช่วยให้มั่นใจในการรวบรวม การประมวลผล และการวิเคราะห์ข้อมูลเกี่ยวกับกิจกรรมของคู่แข่ง

ข้อมูลเข้าสู่ระบบสารสนเทศมาจากบุคลากรของบริษัทและจากระบบสำนักงานของผู้จัดจำหน่าย ในอนาคตพวกเขาจะใช้สำหรับการจัดการการดำเนินงานขององค์กร การควบคุมและวิเคราะห์กิจกรรมของบริษัทโดยรวม สำนักงานภูมิภาคและผู้จัดจำหน่าย ผู้บริโภคข้อมูลเครือข่ายสารสนเทศ ได้แก่ ผู้จัดการและผู้บริหารของบริษัทและผู้จัดจำหน่าย รูปที่ 1 และ 2 แสดงกระแสข้อมูลหลักที่ไหลเวียนอยู่ในระบบการจัดการขององค์กรการค้า (เครือข่ายการค้า) ซึ่งแสดงแหล่งที่มาหลักและผู้บริโภค

ในการตัดสินใจด้านการจัดการเชิงกลยุทธ์ หัวหน้าองค์กร ผู้อำนวยการฝ่ายการเงิน หัวหน้าฝ่ายบัญชี และผู้จัดการอาวุโสจำเป็นต้องนำเสนอภาพรวมสถานะขององค์กรและแนวโน้มการพัฒนาที่สมบูรณ์ (รูปที่ 1)

ในที่ทำงานในแผนกบัญชี ในพื้นที่ขาย ในคลังสินค้า พนักงานจะจัดการเฉพาะส่วนย่อยของกระแสข้อมูลทั่วไปเท่านั้น ตามกฎแล้วงานและหน้าที่ของพวกเขาอยู่ที่การประมวลผลและบันทึกการรับและการใช้สินค้าการออกใบแจ้งหนี้การทำงานกับเครื่องบันทึกเงินสด ฯลฯ (รูปที่ 2.).

เมื่อพิจารณาถึงความเสี่ยงขององค์กรการค้าและช่องโหว่ของระบบข้อมูล ดูเหมือนว่าจะไม่มีความรับผิดชอบที่จะใช้แนวทางที่บริษัทตอบสนองต่อเหตุการณ์ที่เกิดขึ้นภายหลังข้อเท็จจริง เช่น หลังจากที่มันเกิดขึ้น ตามมาว่าบริษัทจะต้องสร้างระบบรักษาความปลอดภัยข้อมูล มันเป็นหนึ่งในองค์ประกอบหลักของระบบควบคุม

การหยุดการทำงานของระบบสารสนเทศอาจทำให้เกิดผลที่ตามมาอย่างถาวรต่อธุรกิจ ดังนั้น ตามที่บริษัทประกันภัย Gerling กล่าว หากระบบข้อมูลหยุดทำงานอย่างสมบูรณ์ บริษัทการค้าจะอยู่ได้เพียง 2.5 วันเท่านั้นและสำหรับสถานประกอบการผลิตที่ไม่มีวงจรการผลิตต่อเนื่อง ตัวเลขนี้คือ 5 วัน

ข้อมูลเบื้องต้นสำหรับการสร้างระบบรักษาความปลอดภัยข้อมูลที่มีประสิทธิภาพควรมีแนวคิดที่ชัดเจนเกี่ยวกับเป้าหมายและโครงสร้างของระบบ ประเภทของภัยคุกคามและแหล่งที่มา และมาตรการรับมือที่เป็นไปได้

แหล่งที่มาของภัยคุกคามอาจมาจากภายนอกและภายใน

รูปที่ 2.ระบบแลกเปลี่ยนข้อมูลสำหรับพนักงานแผนกต่าง ๆ ขององค์กรค้าปลีกหรือเครือข่ายค้าปลีก

ภัยคุกคามภายนอกส่วนใหญ่มักมาจากคู่แข่ง กลุ่มอาชญากร และเจ้าหน้าที่ทุจริตภายในหน่วยงานด้านกฎหมายและฝ่ายบริหาร การกระทำของภัยคุกคามภายนอกสามารถมุ่งเป้าไปที่สื่อจัดเก็บข้อมูลแบบพาสซีฟ การลบข้อมูลในระหว่างกระบวนการแลกเปลี่ยน การทำลายข้อมูล หรือความเสียหายต่อสื่อจัดเก็บข้อมูล ภัยคุกคามสามารถพุ่งตรงไปที่บุคลากรของบริษัท และแสดงออกมาในรูปแบบของการติดสินบน การข่มขู่ แบล็กเมล์ การงัดข้อมูลเพื่อให้ได้ข้อมูลที่เป็นความลับทางการค้า หรือเกี่ยวข้องกับการล่อลวงผู้เชี่ยวชาญชั้นนำ เป็นต้น

ภัยคุกคามจากภายในก่อให้เกิดอันตรายร้ายแรงที่สุด สิ่งเหล่านี้อาจมาจากผู้จัดการที่ไร้ความสามารถ บุคลากรไร้ยางอายและขาดทักษะ ผู้ยักยอกและผู้ฉ้อโกง และวิธีการผลิตที่ล้าสมัย พนักงานแต่ละคนที่มีความนับถือตนเองในระดับสูง เนื่องจากไม่พอใจกับความทะเยอทะยานของตน (ระดับเงินเดือน ความสัมพันธ์กับฝ่ายบริหาร เพื่อนร่วมงาน ฯลฯ) อาจให้ข้อมูลเชิงพาณิชย์ในเชิงรุกแก่คู่แข่ง พยายามทำลายข้อมูลสำคัญหรือสื่อที่ไม่โต้ตอบ เพื่อ เช่น แนะนำไวรัสคอมพิวเตอร์

ความเสียหายต่อทรัพยากรข้อมูลอาจเกิดจาก:

การดำเนินการเข้าถึงและลบข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต
การติดสินบนพนักงานเพื่อเข้าถึงข้อมูลที่เป็นความลับหรือระบบข้อมูล
โดยการสกัดกั้นข้อมูลที่หมุนเวียนในการสื่อสารและสิ่งอำนวยความสะดวกและระบบคอมพิวเตอร์โดยใช้วิธีการทางเทคนิคในการสำรวจและรวบรวมข้อมูล
โดยการดักฟังการสนทนาที่เป็นความลับที่เกิดขึ้นในสำนักงาน ยานพาหนะของราชการและส่วนบุคคล ในอพาร์ตเมนต์และกระท่อม
ผ่านกระบวนการเจรจา การใช้การจัดการข้อมูลอย่างไม่ระมัดระวัง

แหล่งข้อมูลหลักคือ:บุคคล เอกสาร สิ่งพิมพ์ สื่อทางเทคนิค วิธีการทางเทคนิค ผลิตภัณฑ์และของเสีย

วิธีหลักในการรับข้อมูลที่ไม่ได้รับอนุญาตคือ:

- การเปิดเผยข้อมูลที่เป็นความลับ
- การเข้าถึงแหล่งข้อมูลโดยไม่ได้รับอนุญาต
- การรั่วไหลของข้อมูลที่เป็นความลับอันเนื่องมาจากความผิดของพนักงานบริษัท

ความเกี่ยวข้องของปัญหาในการใช้มาตรการเพื่อให้แน่ใจว่าความปลอดภัยของข้อมูลสามารถอธิบายได้จากตัวอย่างต่อไปนี้:

1. บริการรักษาความปลอดภัยของผู้ดำเนินการของรัฐบาลกลางตรวจพบเหตุการณ์ที่เกี่ยวข้องกับการละเมิดความปลอดภัยของข้อมูลตั้งแต่สองถึงหกเหตุการณ์ทุกเดือน
2. ในไฮเปอร์มาร์เก็ต เด็กสาวคนหนึ่ง "รู้แจ้ง" เกี่ยวกับข้อบกพร่องของโปรแกรมสำหรับการจับคู่เครื่องบันทึกเงินสดผ่านเครือข่ายท้องถิ่น จากการฉ้อโกงผู้หญิงคนนี้ "ได้รับ" 900,000 รูเบิลในสามเดือน
3. แคชเชียร์หนุ่มทำการเปลี่ยนแปลงโปรแกรมเงินสดและในหนึ่งเดือนสร้างความเสียหายให้กับองค์กรเป็นจำนวนประมาณ 200,000 รูเบิล ผู้ดูแลระบบค้นพบข้อเท็จจริงของการเข้าถึงโดยไม่ได้รับอนุญาตในระหว่างการสอบสวนสองเดือนหลังจากที่แคชเชียร์ถูกไล่ออกเท่านั้น

ดังนั้นผู้นำธุรกิจจะต้องเข้าใจถึงความสำคัญของความปลอดภัยของข้อมูลและเรียนรู้ที่จะคาดการณ์และจัดการแนวโน้มในอนาคต การดำเนินงานระบบรักษาความปลอดภัยอย่างมีประสิทธิผลควรมีความสำคัญสูงสุดสำหรับทั้งองค์กร

ขอบเขตหลักของการปกป้องข้อมูล:

- การคุ้มครองทางกฎหมายรวมถึง: กฎหมายของสหพันธรัฐรัสเซีย, เอกสารกำกับดูแลของตนเองรวมถึง: กฎระเบียบเกี่ยวกับการเก็บรักษาข้อมูลที่เป็นความลับ, รายการข้อมูลที่เป็นความลับทางการค้า, คำแนะนำเกี่ยวกับขั้นตอนในการเข้าถึงข้อมูลลับของพนักงาน, กฎระเบียบในการทำงานในสำนักงาน และการไหลของเอกสาร ภาระหน้าที่ในการไม่เปิดเผยข้อมูลของพนักงาน ข้อมูลลับ การเตือนพนักงานเกี่ยวกับการรักษาความลับทางการค้า ฯลฯ
- การคุ้มครององค์กรรวมถึงมาตรการการบริหารระบอบการปกครองและองค์กร สิ่งเหล่านี้รวมถึง: องค์กรของบริการรักษาความปลอดภัย, องค์กรของการควบคุมภายในและการเข้าถึง, องค์กรของการทำงานร่วมกับพนักงานในการไม่เปิดเผยข้อมูลที่เป็นความลับทางการค้าและอย่างเป็นทางการ, การจัดระเบียบการทำงานกับเอกสาร, องค์กรของงานในการวิเคราะห์ภัยคุกคามภายนอกและภายใน ฯลฯ
- การป้องกันทางวิศวกรรมและทางเทคนิค - เกี่ยวข้องกับการใช้เครื่องมือทางเทคนิค อิเล็กทรอนิกส์ และซอฟต์แวร์ต่างๆ ที่ออกแบบมาเพื่อปกป้องข้อมูล

การดำเนินการตามโปรแกรมความปลอดภัยของข้อมูลควรดำเนินการบนพื้นฐานของการใช้ระบบและเครื่องมือรักษาความปลอดภัยแบบบูรณาการโดยตั้งอยู่บนสมมติฐานที่เป็นไปไม่ได้ที่จะรับรองระดับความปลอดภัยที่ต้องการโดยใช้เครื่องมือหรือมาตรการแยกกันเพียงอันเดียวหรือการผสมผสานอย่างง่าย ของพวกเขา. จำเป็นต้องมีการประสานงานอย่างเป็นระบบ ในกรณีนี้ การดำเนินการตามภัยคุกคามใดๆ อาจส่งผลกระทบต่ออ็อบเจ็กต์ที่ได้รับการป้องกันก็ต่อเมื่อมีการเอาชนะการป้องกันทุกระดับเท่านั้น

ความปลอดภัยของระบบอีคอมเมิร์ซโดยรวมอยู่ที่การป้องกันการแทรกแซงข้อมูลประเภทต่างๆ การแทรกแซงทั้งหมดนี้สามารถแบ่งออกเป็นหลายประเภท:

· การโจรกรรมข้อมูล (เช่น การขโมยหมายเลขบัตรเครดิตจากฐานข้อมูล)

· การรบกวน (เช่น การโอเวอร์โหลดข้อมูลของไซต์ที่ไม่ได้มีไว้สำหรับข้อมูลจำนวนมาก)

· การบิดเบือนข้อมูล (เช่น การเปลี่ยนแปลงจำนวนเงินในไฟล์การชำระเงินและใบแจ้งหนี้ หรือการสร้างใบรับรองหรือไซต์ที่ไม่มีอยู่จริงสำหรับการสูบข้อมูลไปยังไซต์เฉพาะ)

· การทำลายข้อมูล (เช่น ระหว่างการส่งจากไซต์หรือไปยังไซต์จากผู้ใช้)

· การปฏิเสธการกระทำที่เกิดขึ้น (เช่น จากการสั่งซื้อหรือรับสินค้า)

· การใช้สิ่งอำนวยความสะดวกของไซต์ในทางที่ผิดโดยไม่ได้ตั้งใจโดยผู้ใช้โดยสุจริต

· การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต:

· การคัดลอก การอัปเดต หรือการใช้ข้อมูลโดยไม่ได้รับอนุญาต

· ธุรกรรมที่ไม่ได้รับอนุญาต

· การดูหรือส่งข้อมูลโดยไม่ได้รับอนุญาต (เช่น การแสดงชื่อจริงของผู้เยี่ยมชมแทนชื่อเล่นในการแชทหรือฟอรัม)

ในเวลาเดียวกันเราไม่สามารถละเลยที่จะคำนึงว่าในเรื่องของการรักษาความปลอดภัยในพื้นที่นี้มีปัญหาวัตถุประสงค์หลายประการในลักษณะทางกฎหมาย - เทคโนโลยีกำลังพัฒนาเร็วกว่ากรอบกฎหมายมากเป็นการยากที่จะจับผู้โจมตีเข้ามา การกระทำผิดและหลักฐานและร่องรอยการก่ออาชญากรรมสามารถถูกทำลายอย่างไร้ร่องรอยได้อย่างง่ายดาย ทั้งหมดนี้ทำให้บริษัทต่างๆ จำเป็นต้องพัฒนานโยบายในการปกป้องธุรกิจอิเล็กทรอนิกส์ของตนอย่างรอบคอบ การรักษาความปลอดภัยที่สมบูรณ์และสมบูรณ์แบบนั้นไม่สามารถบรรลุได้ เนื่องจากระบบ e-business ถูกสร้างขึ้นบนแอพพลิเคชั่นซอฟต์แวร์ที่มีจำหน่ายทั่วไปและแบบกำหนดเองที่หลากหลายจากผู้จำหน่ายหลายราย และบริการภายนอกจำนวนมากที่ผู้ให้บริการหรือพันธมิตรทางธุรกิจมอบให้ ส่วนสำคัญของส่วนประกอบและบริการเหล่านี้มักไม่ชัดเจนสำหรับผู้เชี่ยวชาญด้านไอทีของบริษัทลูกค้า นอกจากนี้ ส่วนประกอบและบริการส่วนใหญ่มักได้รับการแก้ไขและปรับปรุงโดยผู้สร้าง เป็นไปไม่ได้ที่จะตรวจสอบข้อบกพร่องด้านความปลอดภัยที่อาจเกิดขึ้นอย่างละเอียดถี่ถ้วน และยิ่งยากยิ่งขึ้นที่จะกำจัดข้อบกพร่องเหล่านี้ และแม้ว่าจะเป็นไปได้ก็ตาม สิ่งที่เรียกว่าปัจจัยมนุษย์ก็ไม่สามารถยกเว้นได้ เนื่องจากระบบทั้งหมดถูกสร้างขึ้น เปลี่ยนแปลง และจัดการโดยบุคลากร และจากการวิจัยของสถาบันความปลอดภัยคอมพิวเตอร์ พบว่า 81% ของผู้ตอบแบบสอบถามตั้งข้อสังเกตว่าข้อกังวลที่ใหญ่ที่สุดสำหรับบริษัทต่างๆ คือภัยคุกคามภายใน - การกระทำโดยตั้งใจหรือไม่ตั้งใจของพนักงานของตนเอง

ปัญหาการป้องกันภัยคุกคามภายในมีสองด้าน: ทางเทคนิคและเชิงองค์กร ด้านเทคนิคคือความปรารถนาที่จะขจัดความเป็นไปได้ในการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เพื่อจุดประสงค์นี้ใช้วิธีการที่รู้จักกันดีเช่น:

รักษารหัสผ่านและเปลี่ยนรหัสผ่านเป็นประจำ ให้สิทธิ์ขั้นต่ำที่จำเป็นในการบริหารระบบ

ความพร้อมใช้งานของขั้นตอนมาตรฐานสำหรับการเปลี่ยนแปลงกลุ่มการเข้าถึงอย่างทันท่วงทีในระหว่างการเปลี่ยนแปลงบุคลากรหรือการทำลายการเข้าถึงทันทีเมื่อเลิกจ้างพนักงาน

ด้านองค์กรคือการพัฒนานโยบายความปลอดภัยภายในที่มีเหตุผล ซึ่งกลายเป็นการปฏิบัติงานประจำ เช่น วิธีการป้องกันและป้องกันการโจมตีของแฮ็กเกอร์โดยบริษัทต่างๆ ที่ไม่ค่อยได้ใช้ เช่น:

· การแนะนำวัฒนธรรมความปลอดภัยทั่วไปในบริษัท

· การทดสอบซอฟต์แวร์สำหรับการแฮ็ก

· ติดตามความพยายามในการแฮ็กทุกครั้ง (ไม่ว่าจะประสบความสำเร็จแค่ไหน) และตรวจสอบอย่างละเอียด

· การฝึกอบรมประจำปีสำหรับพนักงานเกี่ยวกับปัญหาด้านความปลอดภัยและอาชญากรรมในโลกไซเบอร์ รวมถึงข้อมูลเกี่ยวกับสัญญาณการโจมตีของแฮ็กเกอร์ เพื่อเพิ่มจำนวนพนักงานที่สามารถตรวจจับกิจกรรมดังกล่าวได้

· การแนะนำขั้นตอนที่ชัดเจนสำหรับการจัดการกรณีการเปลี่ยนแปลงหรือการทำลายข้อมูลโดยไม่ได้ตั้งใจ

เพื่อป้องกันการบุกรุกจากภายนอก ปัจจุบันมีระบบต่างๆ มากมายที่มีตัวกรองประเภทต่างๆ กัน ซึ่งช่วยระบุความพยายามในการแฮ็กในระยะแรกๆ และหากเป็นไปได้ จะป้องกันไม่ให้ผู้โจมตีเข้าสู่ระบบผ่านเครือข่ายภายนอก

· เราเตอร์ - อุปกรณ์จัดการการรับส่งข้อมูลเครือข่ายที่ตั้งอยู่ระหว่างเครือข่ายลำดับที่สองและจัดการการรับส่งข้อมูลขาเข้าและขาออกของส่วนเครือข่ายที่เชื่อมต่ออยู่

· ไฟร์วอลล์ - วิธีการแยกเครือข่ายส่วนตัวออกจากเครือข่ายสาธารณะโดยใช้ซอฟต์แวร์ที่ตรวจสอบและระงับการโจมตีจากภายนอกบนไซต์โดยใช้การควบคุมประเภทของคำขอบางอย่าง

เกตเวย์แอปพลิเคชันเป็นวิธีการที่ผู้ดูแลระบบเครือข่ายใช้นโยบายความปลอดภัยที่แนะนำเราเตอร์ที่ทำการกรองแพ็กเก็ต

· ระบบตรวจจับการบุกรุก (IDS) - ระบบที่ตรวจจับการโจมตีโดยเจตนาและการใช้ทรัพยากรระบบในทางที่ผิดโดยผู้ใช้โดยไม่ได้ตั้งใจ

· เครื่องมือประเมินความปลอดภัย (สแกนเนอร์พิเศษ ฯลฯ) - โปรแกรมที่สแกนเครือข่ายเป็นประจำเพื่อหาปัญหาและทดสอบประสิทธิภาพของนโยบายความปลอดภัยที่นำไปใช้

โดยทั่วไป สิ่งแรกที่บริษัทควรทำคือพิจารณาว่าควรปกป้องอะไรและจากใคร ผู้เล่นหลักในสาขานี้คือผู้ถือหุ้นของบริษัท ผู้บริโภค พนักงาน และหุ้นส่วนทางธุรกิจ และสำหรับพวกเขาแต่ละคน จำเป็นต้องพัฒนาโครงการคุ้มครองของตนเอง ข้อกำหนดด้านความปลอดภัยทั้งหมดจะต้องได้รับการจัดทำเป็นเอกสารเพื่อใช้เป็นแนวทางสำหรับการใช้งานแอปพลิเคชันอีคอมเมิร์ซทั้งหมดและมาตรการรักษาความปลอดภัยในสายธุรกิจต่างๆ ของบริษัท นอกจากนี้ ยังช่วยให้คุณสร้างงบประมาณแยกต่างหากสำหรับการแก้ไขปัญหาด้านความปลอดภัยภายในบริษัท และปรับต้นทุนให้เหมาะสมสำหรับความต้องการเหล่านี้ ขจัดความซ้ำซ้อนของปัญหาด้านความปลอดภัยใดๆ เมื่อพัฒนาโครงการธุรกิจแต่ละโครงการ

น่าเสียดายที่แนวทางปฏิบัติในปัจจุบันเป็นเช่นนั้นโดยปล่อยให้ฝ่ายบริหารของแผนกไอทีถือนโยบายความปลอดภัยซึ่งพนักงานเชื่อว่าปัญหาทางเทคโนโลยีมีความสำคัญมากกว่าคำสั่ง "กระดาษ" บางประเภทและยิ่งกว่านั้นไม่ใช่ผู้เชี่ยวชาญในบางพื้นที่ของธุรกิจ ที่ต้องมีขั้นตอนการป้องกันที่ชัดเจนภายในบริษัทด้วย

นอกจากนี้ เมื่อจับคู่ซอฟต์แวร์ที่แตกต่างกัน อาจเกิดปัญหาเฉพาะที่ผู้ผลิตผลิตภัณฑ์แบบรวมแต่ละรายการไม่ทราบ การวิจัยปฏิสัมพันธ์ดังกล่าวควรมาก่อนการตัดสินใจด้านเทคโนโลยีและงบประมาณ และจนถึงตอนนี้ก็ยังได้รับความสนใจน้อยเกินไปในเรื่องนี้

ภัยคุกคามอีคอมเมิร์ซมีหลายประเภท:

การเจาะเข้าสู่ระบบจากภายนอก

การเข้าถึงโดยไม่ได้รับอนุญาตภายในบริษัท

จงใจสกัดกั้นและอ่านข้อมูล

การหยุดชะงักของข้อมูลหรือเครือข่ายโดยเจตนา

การระบุตัวตนผู้ใช้ไม่ถูกต้อง (เพื่อวัตถุประสงค์ในการฉ้อโกง)

การแฮ็กการป้องกันฮาร์ดแวร์และซอฟต์แวร์

การเข้าถึงของผู้ใช้โดยไม่ได้รับอนุญาตจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง

การโจมตีของไวรัส

การปฏิเสธการให้บริการ

การฉ้อโกงทางการเงิน

เพื่อตอบโต้ภัยคุกคามเหล่านี้ มีการใช้วิธีการหลายวิธีที่ใช้เทคโนโลยีต่างๆ ได้แก่: การเข้ารหัส - การเข้ารหัสข้อมูลที่ป้องกันไม่ให้ถูกอ่านหรือบิดเบือน ลายเซ็นดิจิทัลที่ตรวจสอบตัวตนของผู้ส่งและผู้รับ เทคโนโลยีการลักลอบโดยใช้กุญแจอิเล็กทรอนิกส์ ไฟร์วอลล์; เครือข่ายเสมือนและส่วนตัว

ไม่มีวิธีการป้องกันใดที่เป็นสากล ตัวอย่างเช่น ไฟร์วอลล์ไม่ได้ตรวจหาไวรัสและไม่สามารถรับประกันความสมบูรณ์ของข้อมูลได้ ไม่มีวิธีที่เชื่อถือได้อย่างแน่นอนในการต่อต้านการแฮ็กการป้องกันอัตโนมัติ และเป็นเพียงเรื่องของเวลาก่อนที่จะถูกแฮ็ก แต่เวลาที่ใช้ในการทำลายการป้องกันนั้นจะขึ้นอยู่กับคุณภาพของมัน ต้องบอกว่าซอฟต์แวร์และฮาร์ดแวร์เพื่อปกป้องการเชื่อมต่อและแอปพลิเคชันบนอินเทอร์เน็ตได้รับการพัฒนามาเป็นเวลานานแม้ว่าจะมีการนำเทคโนโลยีใหม่ ๆ มาใช้อย่างไม่สม่ำเสมอก็ตาม

ภัยคุกคามใดที่รอบริษัทที่ทำอีคอมเมิร์ซในแต่ละขั้นตอน:

การทดแทนหน้าเว็บของเซิร์ฟเวอร์ร้านค้าอิเล็กทรอนิกส์ (การเปลี่ยนเส้นทางคำขอไปยังเซิร์ฟเวอร์อื่น) ทำให้บุคคลที่สามสามารถเข้าถึงข้อมูลเกี่ยวกับลูกค้า โดยเฉพาะอย่างยิ่งเกี่ยวกับบัตรเครดิตของเขา

การสร้างคำสั่งเท็จและการฉ้อโกงในรูปแบบต่างๆ ในส่วนของพนักงานร้านค้าอิเล็กทรอนิกส์ เช่น การบิดเบือนฐานข้อมูล (สถิติแสดงให้เห็นว่าเหตุการณ์ทางคอมพิวเตอร์มากกว่าครึ่งหนึ่งเกี่ยวข้องกับกิจกรรมของพนักงานของตนเอง)

การสกัดกั้นข้อมูลที่ส่งผ่านเครือข่ายอีคอมเมิร์ซ

การบุกรุกของผู้โจมตีเข้าสู่เครือข่ายภายในของบริษัทและการประนีประนอมส่วนประกอบของร้านค้าอิเล็กทรอนิกส์

การดำเนินการโจมตีแบบปฏิเสธบริการและการหยุดชะงักของการทำงานหรือการปิดใช้งานโหนดอีคอมเมิร์ซ

ผลจากการดำเนินการตามภัยคุกคามดังกล่าว บริษัทสูญเสียความไว้วางใจจากลูกค้า สูญเสียเงินจากธุรกรรมที่อาจเกิดขึ้นและ/หรือไม่สมบูรณ์ กิจกรรมของร้านค้าอิเล็กทรอนิกส์หยุดชะงัก และใช้เวลา เงิน และทรัพยากรมนุษย์ในการฟื้นฟูการทำงาน

แน่นอนว่าภัยคุกคามที่เกี่ยวข้องกับการสกัดกั้นข้อมูลที่ส่งผ่านอินเทอร์เน็ตไม่ได้จำกัดอยู่เพียงภาคอีคอมเมิร์ซเท่านั้น ความสำคัญเป็นพิเศษที่เกี่ยวข้องกับอย่างหลังคือความจริงที่ว่าระบบมีข้อมูลที่มีความสำคัญทางเศรษฐกิจอย่างมาก: หมายเลขบัตรเครดิต หมายเลขบัญชี เนื้อหาของสัญญา ฯลฯ

1. การรักษาความปลอดภัยอีคอมเมิร์ซ

การรับรองความปลอดภัยไม่เพียงแต่เป็นเงื่อนไขที่จำเป็นสำหรับธุรกิจอิเล็กทรอนิกส์ที่ประสบความสำเร็จเท่านั้น แต่ยังเป็นรากฐานสำหรับความสัมพันธ์ที่ไว้วางใจระหว่างคู่สัญญาอีกด้วย แก่นแท้ของธุรกิจอิเล็กทรอนิกส์เกี่ยวข้องกับการแลกเปลี่ยนข้อมูลและการทำธุรกรรมผ่านเครือข่ายสาธารณะที่ไม่มีการป้องกัน ซึ่งเป็นไปไม่ได้เลยหากปราศจากความไว้วางใจในความสัมพันธ์ระหว่างองค์กรธุรกิจ ดังนั้นข้อกำหนดด้านความปลอดภัยจึงมีความซับซ้อน รวมถึงงานต่างๆ เช่น การเข้าถึงเว็บเซิร์ฟเวอร์และเว็บแอปพลิเคชัน การรับรองความถูกต้องและการอนุญาตผู้ใช้ การรับรองความถูกต้องสมบูรณ์ของข้อมูลและการรักษาความลับ การใช้ลายเซ็นดิจิทัลอิเล็กทรอนิกส์ เป็นต้น

ด้วยการเติบโตเชิงพาณิชย์ของอินเทอร์เน็ต จึงมีการให้ความสนใจกับการปกป้องข้อมูลที่ส่งผ่านเครือข่ายมากขึ้นเรื่อยๆ โปรโตคอลเฉพาะทางที่ออกแบบมาเพื่อจัดการปฏิสัมพันธ์ที่ปลอดภัยผ่านอินเทอร์เน็ต (เช่น SET, SOCKS5, SSL, SHTTP เป็นต้น) ได้รับการยอมรับอย่างกว้างขวางทั่วโลก และประสบความสำเร็จในการนำไปใช้โดยนักพัฒนาต่างประเทศเพื่อสร้างระบบอิเล็กทรอนิกส์ด้านการธนาคารและการซื้อขายบนอินเทอร์เน็ต

ในต่างประเทศ ปัญหาความปลอดภัยของข้อมูลของธุรกิจอิเล็กทรอนิกส์กำลังได้รับการแก้ไขโดยกลุ่มความร่วมมืออิสระ - Internet Security Task Force (ISTF) - องค์กรสาธารณะที่ประกอบด้วยตัวแทนและผู้เชี่ยวชาญของบริษัทที่จัดหาเครื่องมือรักษาความปลอดภัยข้อมูล ธุรกิจอิเล็กทรอนิกส์ และบริการอินเทอร์เน็ต ผู้ให้บริการ

ISTF ระบุความปลอดภัยของข้อมูล 12 ด้านที่ควรเป็นจุดสนใจหลัก ผู้จัดงาน e-business:

กลไกในการยืนยันวัตถุประสงค์ในการระบุข้อมูล

สิทธิ์ในข้อมูลส่วนบุคคลและข้อมูลส่วนตัว

คำจำกัดความของเหตุการณ์ด้านความปลอดภัย

การคุ้มครองปริมณฑลขององค์กร

คำจำกัดความของการโจมตี

การควบคุมเนื้อหาที่อาจเป็นอันตราย u1086;

การควบคุมการเข้าถึง;

การบริหาร;

ปฏิกิริยาต่อเหตุการณ์

เป็นที่ทราบกันดีว่าการใช้อัลกอริธึมลายเซ็นดิจิทัลอิเล็กทรอนิกส์ (EDS) ช่วยให้สามารถป้องกันภัยคุกคามต่างๆ ได้อย่างน่าเชื่อถือ แต่จะเป็นจริงก็ต่อเมื่ออัลกอริธึมเหล่านี้ถูกถักทอเป็นโปรโตคอลโต้ตอบที่มีรากฐานอย่างดี โครงสร้างความสัมพันธ์ที่ถูกต้องตามกฎหมาย และการปิดแบบลอจิคัล ระบบความไว้วางใจ

ความปลอดภัยของข้อมูลขึ้นอยู่กับตรรกะง่ายๆ ของกระบวนการคำนวณลายเซ็นดิจิทัลและตรวจสอบด้วยคีย์ที่เกี่ยวข้อง อย่างไรก็ตาม ตรรกะนั้นขึ้นอยู่กับการวิจัยทางคณิตศาสตร์ขั้นพื้นฐาน มีเพียงเจ้าของคีย์ส่วนตัวเท่านั้นที่สามารถคำนวณลายเซ็นดิจิทัลได้ และใครก็ตามที่มีคีย์สาธารณะที่สอดคล้องกับคีย์ส่วนตัวสามารถตรวจสอบได้

แน่นอนว่าผู้เชี่ยวชาญในสาขานี้ควรมีส่วนร่วมในการรับรองความปลอดภัยของข้อมูล แต่หัวหน้าหน่วยงานของรัฐ องค์กร และสถาบัน โดยไม่คำนึงถึงรูปแบบการเป็นเจ้าของที่รับผิดชอบความมั่นคงทางเศรษฐกิจของหน่วยงานทางเศรษฐกิจบางแห่ง จะต้องเก็บปัญหาเหล่านี้ไว้อย่างต่อเนื่อง ขอบเขตการมองเห็นของพวกเขา สำหรับพวกเขา ด้านล่างนี้เป็นองค์ประกอบการทำงานหลักของการจัดระบบความปลอดภัยของข้อมูลที่ครอบคลุม:

โปรโตคอลการสื่อสาร

เครื่องมือเข้ารหัส

เครื่องมือควบคุมการเข้าถึงสำหรับเวิร์กสเตชันจากเครือข่ายสาธารณะ

คอมเพล็กซ์แอนติไวรัส

โปรแกรมตรวจจับและการตรวจสอบการโจมตี

เครื่องมือสำหรับการจัดการการควบคุมการเข้าถึงของผู้ใช้แบบรวมศูนย์ รวมถึงการแลกเปลี่ยนแพ็กเก็ตข้อมูลและข้อความของแอปพลิเคชันใดๆ บนเครือข่ายแบบเปิดอย่างปลอดภัย

อินเทอร์เน็ตมีคณะกรรมการจำนวนมาก ซึ่งส่วนใหญ่เป็นองค์กรอาสาสมัคร คอยแนะนำเทคโนโลยีที่เสนอผ่านกระบวนการกำหนดมาตรฐานอย่างรอบคอบ คณะกรรมการเหล่านี้ ซึ่งประกอบขึ้นเป็นกลุ่มเฉพาะกิจวิศวกรรมอินเทอร์เน็ต (IETF) ได้กำหนดมาตรฐานโปรโตคอลที่สำคัญหลายประการ เพื่อเร่งให้มีการนำโปรโตคอลเหล่านี้ไปใช้บนอินเทอร์เน็ต

โปรโตคอล เช่น กลุ่ม TCP/IP สำหรับการสื่อสารข้อมูล SMTP (Simple Mail Transport Protocol) และ POP (Post Office Protocol) สำหรับอีเมล และ SNMP (Simple Network Management Protocol) สำหรับการจัดการเครือข่ายเป็นผลโดยตรงจากความพยายามของ IETF ประเภทผลิตภัณฑ์รักษาความปลอดภัยที่ใช้ขึ้นอยู่กับความต้องการของบริษัท

โปรโตคอลการรับส่งข้อมูลที่ปลอดภัยเป็นที่นิยมบนอินเทอร์เน็ต ได้แก่ SSL, SET, IP v.6 โปรโตคอลที่ระบุไว้ปรากฏบนอินเทอร์เน็ตเมื่อเร็ว ๆ นี้เนื่องจากความจำเป็นในการปกป้องข้อมูลอันมีค่าและกลายเป็นมาตรฐานโดยพฤตินัยทันที

น่าเสียดายที่ในรัสเซียพวกเขายังคงระมัดระวังอย่างมากเกี่ยวกับความเป็นไปได้ในการแนะนำอินเทอร์เน็ตในด้านกิจกรรมที่เกี่ยวข้องกับ

การถ่ายโอน การประมวลผล และการจัดเก็บข้อมูลที่เป็นความลับ คล้ายกัน

ข้อควรระวังไม่ได้อธิบายเฉพาะจากโครงสร้างทางการเงินภายในประเทศที่อนุรักษ์นิยม ซึ่งกลัวความเปิดกว้างและการเข้าถึงอินเทอร์เน็ต แต่ในบางส่วนจากข้อเท็จจริงที่ว่าซอฟต์แวร์รักษาความปลอดภัยข้อมูลส่วนใหญ่จากบริษัทผู้ผลิตของตะวันตกเข้าสู่ตลาดของเราโดยมีข้อจำกัดในการส่งออกที่เกี่ยวข้องกับ อัลกอริธึมการเข้ารหัสที่ใช้ในนั้น ตัวอย่างเช่น ในเวอร์ชันส่งออกของซอฟต์แวร์สำหรับเซิร์ฟเวอร์ WWW และเบราว์เซอร์จากผู้ผลิต เช่น Microsoft และ Netscape Communications มีข้อจำกัดเกี่ยวกับความยาวของคีย์สำหรับอัลกอริธึมการเข้ารหัสแบบคีย์เดี่ยวและคีย์คู่ที่ใช้โดยโปรโตคอล SSL ซึ่งไม่ได้จัดเตรียมไว้อย่างสมบูรณ์ การป้องกันเมื่อทำงานบนอินเทอร์เน็ต

อย่างไรก็ตาม แอปพลิเคชันอีคอมเมิร์ซ นอกเหนือจากภัยคุกคามภายในแล้ว ยังเสี่ยงต่อภัยคุกคามภายนอกที่เล็ดลอดออกมาจากอินเทอร์เน็ตอีกด้วย และเนื่องจากเป็นการไม่มีเหตุผลที่จะกำหนด ID การเข้าสู่ระบบแยกต่างหากให้กับผู้เยี่ยมชมที่ไม่ระบุชื่อแต่ละคน (เนื่องจากแอปพลิเคชันไม่เติบโต) บริษัทจึงจำเป็นต้องใช้การรับรองความถูกต้องประเภทอื่น นอกจากนี้ จำเป็นต้องเตรียมเซิร์ฟเวอร์เพื่อป้องกันการโจมตีด้วย สุดท้ายนี้ คุณควรระมัดระวังอย่างยิ่งกับข้อมูลที่ละเอียดอ่อน เช่น หมายเลขบัตรเครดิต

การเข้ารหัสข้อมูล

เว็บไซต์ธุรกิจประมวลผลข้อมูลที่ละเอียดอ่อน (เช่น หมายเลขบัตรเครดิตของผู้บริโภค) การส่งข้อมูลดังกล่าวทางอินเทอร์เน็ตโดยไม่มีการป้องกันใดๆ อาจนำไปสู่ผลลัพธ์ที่แก้ไขไม่ได้ ทุกคนสามารถแอบฟังการส่งสัญญาณและทำให้สามารถเข้าถึงข้อมูลที่เป็นความลับได้ ดังนั้นข้อมูลจึงต้องได้รับการเข้ารหัสและส่งผ่านช่องทางที่ปลอดภัย ในการใช้การถ่ายโอนข้อมูลที่ปลอดภัย จะใช้โปรโตคอล Secure Sockets Layer (SSL)

หากต้องการใช้ฟังก์ชันนี้ คุณต้องซื้อใบรับรองดิจิทัลและติดตั้งบนเซิร์ฟเวอร์ของคุณ คุณสามารถสมัครขอใบรับรองดิจิทัลได้จากหน่วยรับรองแห่งใดแห่งหนึ่ง องค์กรออกใบรับรองเชิงพาณิชย์ที่มีชื่อเสียง ได้แก่ VerySign, CyberTrust, GTE

SSL เป็นรูปแบบสำหรับโปรโตคอล เช่น HTTP (เรียกว่า HTTPS เมื่อปลอดภัย), FTP และ NNTP เมื่อใช้ SSL ในการถ่ายโอนข้อมูล:

ข้อมูลถูกเข้ารหัส

มีการสร้างการเชื่อมต่อที่ปลอดภัยระหว่างเซิร์ฟเวอร์ต้นทางและเซิร์ฟเวอร์ปลายทาง

เปิดใช้งานการรับรองความถูกต้องของเซิร์ฟเวอร์แล้ว

เมื่อผู้ใช้ส่งหมายเลขบัตรเครดิตโดยใช้ SSL ข้อมูลจะถูกเข้ารหัสทันทีเพื่อให้แฮกเกอร์ไม่สามารถมองเห็นเนื้อหาได้ SSL ไม่ขึ้นอยู่กับโปรโตคอลเครือข่าย

ซอฟต์แวร์เซิร์ฟเวอร์ของ Netscape ยังให้การรับรองความถูกต้อง เช่น ใบรับรองและลายเซ็นดิจิทัล ซึ่งรับรองตัวตนของผู้ใช้และความสมบูรณ์ของข้อความ และรับรองว่าข้อความจะไม่เปลี่ยนเส้นทาง

การรับรองความถูกต้องเกี่ยวข้องกับการยืนยันตัวตนของผู้ใช้และลายเซ็นดิจิทัลเพื่อตรวจสอบความถูกต้องของเอกสารที่เกี่ยวข้องกับการแลกเปลี่ยนข้อมูลและธุรกรรมทางการเงิน ลายเซ็นดิจิทัลคือข้อมูลที่สามารถแนบไปกับเอกสารเพื่อป้องกันการปลอมแปลง

ตรวจจับการบุกรุก

ระบบตรวจจับการบุกรุก (IDS) สามารถระบุรูปแบบหรือร่องรอยของการโจมตีและสร้างการแจ้งเตือนได้

แจ้งเตือนผู้ปฏิบัติงานและสนับสนุนให้เราเตอร์ยุติการเชื่อมต่อกับแหล่งที่มาของการบุกรุกที่ผิดกฎหมาย ระบบเหล่านี้ยังสามารถป้องกันการพยายามทำให้เกิดการปฏิเสธการให้บริการได้อีกด้วย

รายละเอียดของงาน

วัตถุประสงค์ของงานนี้คือเพื่อศึกษาแนวคิดของอีคอมเมิร์ซและพิจารณาประเด็นความปลอดภัยของข้อมูลของอีคอมเมิร์ซ
งาน:
- กำหนดอีคอมเมิร์ซ
- พิจารณาองค์ประกอบหลัก ประเภท ด้านบวกและด้านลบ
- พิจารณาประเภทหลักของภัยคุกคามและวิธีการหลักในการรับรองความปลอดภัยของอีคอมเมิร์ซ

ความปลอดภัยของข้อมูลพาณิชย์อิเล็กทรอนิกส์ (EC)

จำนวนผู้ใช้อินเทอร์เน็ตสูงถึงหลายร้อยล้านคน และคุณภาพใหม่ได้เกิดขึ้นในรูปแบบของ "เศรษฐกิจเสมือนจริง" โดยการซื้อจะดำเนินการผ่านไซต์ช็อปปิ้ง โดยใช้โมเดลธุรกิจใหม่ กลยุทธ์การตลาดของตนเอง เป็นต้น

พาณิชย์อิเล็กทรอนิกส์ (EC) เป็นกิจกรรมทางธุรกิจสำหรับการขายสินค้าผ่านทางอินเทอร์เน็ต ตามกฎแล้ว EC มีสองรูปแบบ:

* การค้าระหว่างองค์กร (ธุรกิจต่อธุรกิจ, B2B)

* การค้าระหว่างวิสาหกิจและบุคคล เช่น ผู้บริโภค (ธุรกิจถึงผู้บริโภค B2C)

EC ได้ก่อให้เกิดแนวคิดใหม่ๆ เช่น:

* ร้านค้าอิเล็กทรอนิกส์ - หน้าต่างแสดงผลและระบบการซื้อขายที่ผู้ผลิตหรือตัวแทนจำหน่ายใช้เมื่อมีความต้องการสินค้า

* แคตตาล็อกอิเล็กทรอนิกส์ – พร้อมผลิตภัณฑ์หลากหลายประเภทจากผู้ผลิตหลายราย

* การประมูลทางอิเล็กทรอนิกส์เป็นแบบอะนาล็อกของการประมูลแบบคลาสสิกโดยใช้เทคโนโลยีอินเทอร์เน็ต โดยมีการเชื่อมต่อที่เป็นลักษณะเฉพาะกับอินเทอร์เฟซมัลติมีเดีย ช่องทางการเข้าถึงอินเทอร์เน็ต และการแสดงคุณลักษณะของผลิตภัณฑ์

* ห้างสรรพสินค้าอิเล็กทรอนิกส์เปรียบเสมือนห้างสรรพสินค้าทั่วไปที่บริษัททั่วไปแสดงสินค้าโดยมีแบรนด์สินค้าที่มีประสิทธิภาพ (Gostiny Dvor, GUM ฯลฯ)

* ชุมชนเสมือน (ชุมชน) ซึ่งผู้ซื้อจัดตามกลุ่มความสนใจ (แฟนคลับ สมาคม ฯลฯ)

อินเทอร์เน็ตในด้าน EC นำมาซึ่งประโยชน์ที่สำคัญ:

* เงินออมสำหรับบริษัทเอกชนขนาดใหญ่จากการโอนการซื้อวัตถุดิบและส่วนประกอบไปยังการแลกเปลี่ยนทางอินเทอร์เน็ตสูงถึง 25 - 30%

* การมีส่วนร่วมในการประมูลซัพพลายเออร์ที่แข่งขันกันจากทั่วโลกแบบเรียลไทม์นำไปสู่การลดราคาที่พวกเขาตั้งโปรแกรมไว้สำหรับการจัดหาสินค้าหรือบริการ

* การเพิ่มขึ้นของราคาสินค้าหรือบริการอันเป็นผลมาจากการแข่งขันจากผู้ซื้อจากทั่วทุกมุมโลก

* ประหยัดโดยการลดจำนวนพนักงานที่ต้องการและปริมาณเอกสาร

ตำแหน่งที่โดดเด่นใน EC ในประเทศตะวันตกได้กลายเป็นภาค B2B ซึ่งตามการประมาณการต่างๆ ภายในปี 2550 จะสูงถึง 3 ถึง 6 ล้านล้าน ดอลลาร์ กลุ่มแรกที่ได้รับประโยชน์จากการโอนธุรกิจไปยังอินเทอร์เน็ตคือบริษัทที่ขายฮาร์ดแวร์และซอฟต์แวร์ และให้บริการคอมพิวเตอร์และโทรคมนาคม

ร้านค้าออนไลน์แต่ละแห่งมีสองร้านค้าหลัก ส่วนประกอบ:

หน้าร้านอิเล็กทรอนิกส์และระบบการซื้อขาย.

หน้าร้านอิเล็กทรอนิกส์ประกอบด้วยข้อมูลเกี่ยวกับสินค้าที่ขายบนเว็บไซต์ ให้การเข้าถึงฐานข้อมูลร้านค้า ลงทะเบียนลูกค้า ทำงานร่วมกับ "ตะกร้า" อิเล็กทรอนิกส์ของผู้ซื้อ สั่งซื้อ รวบรวมข้อมูลทางการตลาด และส่งข้อมูลไปยังระบบการซื้อขาย

ระบบการซื้อขายจะส่งสินค้าและดำเนินการชำระเงินให้กับสินค้าเหล่านั้น ระบบการซื้อขายคือกลุ่มของร้านค้าที่เป็นของบริษัทต่างๆ ที่เช่าพื้นที่บนเว็บเซิร์ฟเวอร์ของบริษัทที่แยกต่างหาก

เทคโนโลยีการดำเนินงานร้านค้าออนไลน์ดังต่อไปนี้:

ผู้ซื้อเลือกผลิตภัณฑ์ที่ต้องการบนหน้าร้านอิเล็กทรอนิกส์พร้อมแคตตาล็อกสินค้าและราคา (เว็บไซต์) และกรอกแบบฟอร์มพร้อมข้อมูลส่วนบุคคล (ชื่อนามสกุล ที่อยู่ทางไปรษณีย์และอีเมล วิธีการจัดส่งและการชำระเงินที่ต้องการ) หากชำระเงินผ่านอินเทอร์เน็ต จะต้องให้ความใส่ใจเป็นพิเศษกับความปลอดภัยของข้อมูล

โอนสินค้าสำเร็จรูปไปยังระบบการซื้อขายของร้านค้าออนไลน์

เมื่อคำสั่งซื้อเสร็จสมบูรณ์ ระบบการซื้อขายดำเนินการด้วยตนเองหรือโดยอัตโนมัติ ระบบแบบแมนนวลทำงานตามหลักการ Posyltorg เมื่อเป็นไปไม่ได้ที่จะซื้อและติดตั้งระบบอัตโนมัติ ตามกฎเมื่อปริมาณสินค้าน้อย

การส่งมอบและการชำระค่าสินค้า- สินค้าจะถูกจัดส่งไปยังผู้ซื้อ

ด้วยวิธีใดวิธีหนึ่งที่เป็นไปได้:

* จัดเก็บเอกสารภายในเมืองและพื้นที่โดยรอบ

* บริการจัดส่งพิเศษ (รวมถึงจากต่างประเทศ)

* หยิบ;

* ข้อมูลเฉพาะดังกล่าวจะถูกส่งผ่านเครือข่ายโทรคมนาคม

สินค้าเป็นข้อมูล

การชำระค่าสินค้าสามารถทำได้ด้วยวิธีต่อไปนี้:

* เบื้องต้นหรือในขณะที่ได้รับสินค้า

* เงินสดให้กับผู้จัดส่งหรือเมื่อเยี่ยมชมร้านค้าจริง

* โดยการโอนทางไปรษณีย์

* ธุรกรรมธนาคาร

* เงินสดในการจัดส่ง

* การใช้บัตรเครดิต (VISA, MASTER CARD ฯลฯ );

ผ่านระบบการชำระเงินทางอิเล็กทรอนิกส์ผ่านการค้าส่วนบุคคล

ธนาคาร (TELEBANK, ASSIST ฯลฯ )

ล่าสุดอีคอมเมิร์ซหรือการค้าผ่านอินเทอร์เน็ตมีการพัฒนาอย่างรวดเร็วในโลก โดยธรรมชาติแล้วกระบวนการนี้

ดำเนินการโดยการมีส่วนร่วมโดยตรงจากสถาบันการเงิน และวิธีการซื้อขายแบบนี้กำลังได้รับความนิยมเพิ่มมากขึ้น อย่างน้อยที่สุดที่ตลาดอิเล็กทรอนิกส์ใหม่สามารถใช้งานได้โดยธุรกิจและประชากรส่วนใหญ่

กิจกรรมเชิงพาณิชย์บนเครือข่ายอิเล็กทรอนิกส์ช่วยขจัดข้อจำกัดทางกายภาพบางประการ บริษัทที่เชื่อมต่อระบบคอมพิวเตอร์ของตนเข้ากับ

อินเทอร์เน็ตสามารถให้การสนับสนุนลูกค้าได้ตลอด 24 ชั่วโมง โดยไม่มีวันหยุดและวันหยุดสุดสัปดาห์ สามารถรับคำสั่งซื้อผลิตภัณฑ์ได้ตลอดเวลาจากทุกที่

อย่างไรก็ตาม “เหรียญ” นี้มีอีกด้านหนึ่ง ในต่างประเทศ ซึ่งอีคอมเมิร์ซได้รับการพัฒนาอย่างกว้างขวางที่สุด ธุรกรรมหรือต้นทุนสินค้ามักถูกจำกัดอยู่ที่ 300-400 ดอลลาร์ นี่เป็นเพราะวิธีแก้ปัญหาความปลอดภัยของข้อมูลในเครือข่ายคอมพิวเตอร์ไม่เพียงพอ ตามรายงานของคณะกรรมการป้องกันและควบคุมอาชญากรรมแห่งสหประชาชาติ อาชญากรรมทางคอมพิวเตอร์ได้เข้าสู่ระดับหนึ่งในปัญหาระหว่างประเทศแล้ว ในสหรัฐอเมริกา กิจกรรมทางอาญาประเภทนี้อยู่ในอันดับที่สามในแง่ของความสามารถในการทำกำไร รองจากการค้าอาวุธและยาเสพติด

ปริมาณการหมุนเวียนอีคอมเมิร์ซทั่วโลกผ่านทางอินเทอร์เน็ตในปี 2549

ตามการคาดการณ์ของ Forrester Tech อาจมีช่วงตั้งแต่ 1.8 ถึง 2 ล้านล้าน ช่วงการคาดการณ์ที่กว้างดังกล่าวถูกกำหนดโดยปัญหาในการรับรองความมั่นคงทางเศรษฐกิจของอีคอมเมิร์ซ หากระดับความปลอดภัยยังคงอยู่ที่ระดับปัจจุบัน มูลค่าการซื้อขายอีคอมเมิร์ซทั่วโลกอาจน้อยลงไปอีก ตามมาด้วยความปลอดภัยต่ำของระบบอีคอมเมิร์ซที่เป็นปัจจัยจำกัดในการพัฒนาธุรกิจอิเล็กทรอนิกส์

การแก้ปัญหาการสร้างความมั่นใจในความมั่นคงทางเศรษฐกิจของอีคอมเมิร์ซนั้นเกี่ยวข้องเป็นหลักกับการแก้ไขปัญหาการปกป้องเทคโนโลยีสารสนเทศที่ใช้ในนั้นนั่นคือการรับรองความปลอดภัยของข้อมูล

การรวมกระบวนการทางธุรกิจเข้ากับสภาพแวดล้อมอินเทอร์เน็ตทำให้เกิดการเปลี่ยนแปลงขั้นพื้นฐานในสถานการณ์ด้านความปลอดภัย การสร้างสิทธิและความรับผิดชอบตามเอกสารอิเล็กทรอนิกส์จำเป็นต้องมีการป้องกันที่ครอบคลุมจากภัยคุกคามทุกรูปแบบ ทั้งผู้ส่งและผู้รับเอกสาร น่าเสียดายที่ผู้จัดการขององค์กรอีคอมเมิร์ซตระหนักดีถึงความร้ายแรงของภัยคุกคามข้อมูลและความสำคัญของการจัดการปกป้องทรัพยากรของตนหลังจากที่ฝ่ายหลังถูกโจมตีข้อมูลเท่านั้น อย่างที่คุณเห็นอุปสรรคทั้งหมดในรายการเกี่ยวข้องกับความปลอดภัยของข้อมูล

ข้อกำหนดพื้นฐานสำหรับการทำธุรกรรมเชิงพาณิชย์ ได้แก่ การรักษาความลับ ความสมบูรณ์ การรับรองความถูกต้อง การอนุญาต การรับประกัน และการรักษาความลับ

เมื่อบรรลุถึงความปลอดภัยของข้อมูล จะต้องมั่นใจในความพร้อมใช้งาน การรักษาความลับ ความสมบูรณ์ และความสำคัญทางกฎหมาย ขั้นพื้นฐาน งาน - ภัยคุกคามแต่ละรายการจะต้องได้รับการพิจารณาในแง่ของผลกระทบที่อาจส่งผลต่อคุณสมบัติหรือคุณภาพของข้อมูลที่ปลอดภัยทั้งสี่นี้

การรักษาความลับหมายความว่าข้อมูลที่ถูกจำกัดควรสามารถเข้าถึงได้โดยผู้ที่ตั้งใจเท่านั้นที่จะเข้าถึงข้อมูลนั้นได้ ภายใต้ ความซื่อสัตย์ข้อมูลถูกเข้าใจว่าเป็นทรัพย์สินของการดำรงอยู่ในรูปแบบที่ไม่ถูกบิดเบือน ความพร้อมใช้งานข้อมูลถูกกำหนดโดยความสามารถของระบบในการเข้าถึงข้อมูลอย่างทันท่วงทีและไม่มีข้อจำกัดแก่อาสาสมัครที่มีอำนาจที่เหมาะสมในการดำเนินการดังกล่าว นัยสำคัญทางกฎหมายข้อมูลมีความสำคัญเมื่อเร็ว ๆ นี้พร้อมกับการสร้างกรอบการกำกับดูแลความปลอดภัยของข้อมูลในประเทศของเรา

หากสามารถตอบสนองข้อกำหนดสี่ข้อแรกด้วยวิธีการทางเทคนิค การปฏิบัติตามข้อกำหนดสองข้อสุดท้ายนั้นขึ้นอยู่กับทั้งวิธีการทางเทคนิคและความรับผิดชอบของบุคคลและองค์กร ตลอดจนการปฏิบัติตามกฎหมายที่ปกป้องผู้บริโภคจากการฉ้อโกงจากผู้ขายที่อาจเกิดขึ้น

ส่วนหนึ่งของการรับรองความปลอดภัยของข้อมูลอย่างครอบคลุม ประการแรก จำเป็นต้องเน้นย้ำประเด็นสำคัญ ปัญหาด้านความปลอดภัยทางอิเล็กทรอนิกส์ ธุรกิจ ซึ่งรวมถึง:

การปกป้องข้อมูลระหว่างการส่งผ่านช่องทางการสื่อสาร การป้องกันระบบคอมพิวเตอร์ ฐานข้อมูล และการจัดการเอกสารอิเล็กทรอนิกส์

สร้างความมั่นใจในการจัดเก็บข้อมูลระยะยาวในรูปแบบอิเล็กทรอนิกส์ สร้างความมั่นใจในความปลอดภัยของธุรกรรม การรักษาความลับของข้อมูลเชิงพาณิชย์ การรับรองความถูกต้อง การคุ้มครองทรัพย์สินทางปัญญา ฯลฯ

ภัยคุกคามอีคอมเมิร์ซมีหลายประเภท:

 การเจาะเข้าสู่ระบบจากภายนอก

 การเข้าถึงภายในบริษัทโดยไม่ได้รับอนุญาต

 การสกัดกั้นโดยเจตนาและการอ่านข้อมูล

 การหยุดชะงักของข้อมูลหรือเครือข่ายโดยเจตนา

 การระบุตัวตนที่ไม่ถูกต้อง (เพื่อวัตถุประสงค์ในการฉ้อโกง)

ผู้ใช้

 การแฮ็กการป้องกันซอฟต์แวร์และฮาร์ดแวร์

 การเข้าถึงของผู้ใช้โดยไม่ได้รับอนุญาตจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง

 การโจมตีของไวรัส

 การปฏิเสธการให้บริการ

 การฉ้อโกงทางการเงิน

เพื่อตอบโต้ภัยคุกคามเหล่านี้ มีการใช้วิธีการหลายวิธีที่ใช้เทคโนโลยีต่างๆ ได้แก่: การเข้ารหัส - การเข้ารหัสข้อมูลที่ป้องกันไม่ให้ถูกอ่านหรือบิดเบือน ลายเซ็นดิจิทัลที่ตรวจสอบตัวตนของผู้ส่งและผู้รับ เทคโนโลยีการลักลอบโดยใช้กุญแจอิเล็กทรอนิกส์ ไฟร์วอลล์; เครือข่ายเสมือนและส่วนตัว

ไม่มีวิธีการป้องกันใดที่เป็นสากล ตัวอย่างเช่น ไฟร์วอลล์ไม่ได้ตรวจหาไวรัสและไม่สามารถรับประกันความสมบูรณ์ของข้อมูลได้ ไม่มีวิธีที่เชื่อถือได้อย่างแน่นอนในการต่อต้านการแฮ็กการป้องกันอัตโนมัติ และเป็นเพียงเรื่องของเวลาก่อนที่จะถูกแฮ็ก แต่เวลาที่ใช้ในการทำลายการป้องกันนั้นจะขึ้นอยู่กับคุณภาพของมัน ต้องบอกว่าซอฟต์แวร์และฮาร์ดแวร์เพื่อปกป้องการเชื่อมต่อและแอปพลิเคชันบนอินเทอร์เน็ตได้รับการพัฒนามาเป็นเวลานานแม้ว่าจะมีการนำเทคโนโลยีใหม่ ๆ มาใช้อย่างไม่สม่ำเสมอก็ตาม

ที่ ภัยคุกคาม กำลังรอบริษัทอีคอมเมิร์ซอยู่ ในทุกขั้นตอน :

 การทดแทนหน้าเว็บของเซิร์ฟเวอร์ร้านค้าอิเล็กทรอนิกส์ (การเปลี่ยนเส้นทางคำขอไปยังเซิร์ฟเวอร์อื่น) ทำให้บุคคลที่สามสามารถเข้าถึงข้อมูลเกี่ยวกับลูกค้า โดยเฉพาะอย่างยิ่งเกี่ยวกับบัตรเครดิตของเขา

 การสร้างคำสั่งเท็จและการฉ้อโกงรูปแบบต่าง ๆ ในส่วนของพนักงานของร้านค้าอิเล็กทรอนิกส์ เช่น การบิดเบือนฐานข้อมูล (สถิติแสดงให้เห็นว่าเหตุการณ์ทางคอมพิวเตอร์มากกว่าครึ่งหนึ่งเกี่ยวข้องกับกิจกรรมของพนักงานของตนเอง)

 การสกัดกั้นข้อมูลที่ส่งผ่านเครือข่ายอีคอมเมิร์ซ

 การเจาะระบบของผู้โจมตีเข้าสู่เครือข่ายภายในของบริษัท และการประนีประนอมส่วนประกอบของร้านค้าอิเล็กทรอนิกส์