E-ticaret sistemlerinde bilgi güvenliği. “Elektronik ticaret güvenliği. Bilgi korumasının ana yönleri

Giriş………………………………………………………………………..…3
1.Elektronik ticaret ve gelişim tarihi…………………………………… ..5
1.1. E-ticaretin tarihçesi………………………………………………………6
2. E-ticaret güvenliği………………………………………..8
2.1. Riskler ve tehditler……………………………………………………….…… ...11
Sonuç…………………………………………………………………….17
Referans listesi……………………………………………………………… 20

giriiş

Küresel İnternet, e-ticareti her büyüklükteki şirket için erişilebilir hale getirdi. Daha önce elektronik veri alışverişinin organizasyonu iletişim altyapısına önemli yatırımlar gerektiriyorsa ve yalnızca büyük şirketler için mümkün olsaydı, bugün İnternet kullanımı küçük firmaların "elektronik tüccarlar" saflarına katılmasına olanak tanıyor. World Wide Web'deki bir elektronik mağaza, herhangi bir şirkete dünyanın her yerinden müşteri çekme fırsatı verir. Böyle bir çevrimiçi iş, neredeyse hiçbir maddi yatırım gerektirmeyen yeni bir satış kanalı - "sanal" oluşturur. Bilgi, hizmet veya ürünler (örneğin yazılım) Web üzerinden teslim edilebiliyorsa, tüm satış süreci (ödeme dahil) çevrimiçi olarak gerçekleştirilebilir.
E-ticaretin tanımı sadece İnternet odaklı sistemleri değil aynı zamanda diğer iletişim ortamlarını (BBS, VAN vb.) kullanan "elektronik mağazaları" da içerir. Aynı zamanda WWW'den gelen bilgilerle başlatılan ancak veri alışverişi için faks, telefon vb. kullanılarak yapılan satış işlemleri de ancak kısmen e-ticaret olarak sınıflandırılabilir. Ayrıca WWW'nin e-ticaretin teknolojik temeli olmasına rağmen bazı sistemlerin diğer iletişim yeteneklerini de kullandığını da not ediyoruz. Böylece satıcıya ürün parametrelerini netleştirmesi veya sipariş vermesi yönündeki talepler e-posta yoluyla da gönderilebilir.
Günümüzde online alışverişlerde en yaygın ödeme aracı kredi kartlarıdır. Ancak yeni ödeme araçları da sahneye çıkıyor: akıllı kartlar, dijital nakit, mikro ödemeler ve elektronik çekler.
E-ticaret yalnızca çevrimiçi işlemleri içermez. Bu kavramın kapsadığı alan aynı zamanda pazarlama araştırması yapmak, fırsatları ve ortakları belirlemek, tedarikçiler ve tüketicilerle ilişkileri sürdürmek, belge akışını düzenlemek vb. faaliyetleri de içermelidir. Dolayısıyla e-ticaret karmaşık bir kavramdır ve elektronik alışveriş verilerini bir bütün olarak içerir. bileşenlerinden biridir.

E-ticaret ve gelişim tarihi

E-ticaret, elektronik bilgisayar ağları aracılığıyla mal ve hizmetlerin üreticilerden tüketicilere ulaşmasını sağlayan bir ekonomik faaliyet türüdür. Başka bir deyişle e-ticaret, mal ve hizmetlerin başta internet olmak üzere bilgisayar ağları aracılığıyla pazarlanması, edinilmesi ve satışıdır. E-ticaret genel olarak ticari faaliyetlerin verimliliğini artırmak için yeni fırsatlar sunmaktadır.
Geleneksel ticaretten farklı olarak e-ticaret firmalara aşağıdaki fırsatları sunmaktadır:
A) Ürünlerinizi İnternet üzerinden satmak;
B) Tüketiciler ve tedarikçilerle ilişkileri geliştirmek ve koordine etmek;
B) Mal ve hizmetlerin elektronik ortamda alışverişi;
D) Dijital ürünlerin teslimatı ve satış sonrası müşteri desteğinin fiyatını düşürün;
D) Pazar değişikliklerine hızla yanıt verin;
E) Genel giderleri azaltın;
G) Müşteri hizmetlerini iyileştirin ve müşterilere kendi hizmetlerinizi tanıtın;
H) Tüketici çemberini genişletin;
I) Alıcının bireysel ihtiyaçlarını dikkate almak;
E-ticaret, alıcıların şunları yapmasına olanak tanır:
A) İstediğiniz zaman ve istediğiniz yerde mal satın alın;
B) Karşılaştırmalı fiyat analizi yapın ve en iyisini seçin;
C) Geniş bir ürün yelpazesine eş zamanlı erişim sağlayın;
D) Satın alma işlemleri için uygun mekanizmaları seçin;
D) Tercihlerinize göre bilgi ve haber alın.
1.1 E-ticaretin tarihi

İlk e-ticaret sistemleri 1960'lı yıllarda ABD'de ortaya çıktı. Taşımacılık şirketlerinde, uçuş hazırlığı ve bilet rezervasyonu sırasında çeşitli hizmetler arasında veri alışverişi yapmak için kullanıldılar.
Başlangıçta bu tür ticaret, kuruluşlar arasında elektronik veri alışverişi için özel standartlar kullanılarak İnternet dışındaki ağlar kullanılarak gerçekleştirildi.
1960'ların sonlarında Amerika Birleşik Devletleri'nde çeşitli ulaşım şirketleri arasında veri alışverişine yönelik dört endüstri standardı vardı. Bu standartları birleştirmek için 1968'de özel bir Ulaştırma Verileri Uyumlaştırma Komitesi oluşturuldu. Çalışmanın sonuçları yeni EDI standardının temelini oluşturdu.
1970'li yıllarda İngiltere'de de benzer olaylar yaşandı. Bu ülkede EDI'nin ana uygulama alanı ulaşım değil ticaretti. Burada seçilen Tradacom spesifikasyonları, Birleşmiş Milletler Avrupa Ekonomik Komisyonu tarafından uluslararası ticari organizasyonlarda veri alışverişi için bir standart olarak benimsenmiştir.
1980'lerde Avrupa ve Amerika standartlarını birleştirme çalışmaları başladı. Bu çalışmanın sonucunda, Uluslararası Ticaretin Kolaylaştırılması Çalışma Grubu'nun Eylül 1996'daki 42. oturumunda, "İdare, Ticaret ve Taşımacılıkta Elektronik Veri Değişimi için Birleşmiş Milletler Standardının Kullanımı" başlıklı 25 No'lu Tavsiye Kararı kabul edildi.
Böylece. 1990'ların başında EDI-FACT standardı ortaya çıktı ve ISO (ISO 9735) tarafından benimsendi.
Ancak Amerika ve Avrupa standartlarının nihai birleşmesi gerçekleşmedi. Elektronik veri alışverişi için yeni ve daha umut verici bir fırsat ortaya çıktı: İnternet üzerinden veri alışverişi.
İnternetin düşük maliyetli veri aktarımıyla birlikte gelişmesi, EDI sistemlerinin modernizasyonunu acil hale getirdi. Sonuç olarak, 1990'ların ortasında, SMTP/S-MIME güvenli e-posta protokollerini kullanarak bir EDI işleminin nasıl iletileceğini açıklayan İnternet üzerinden EDIFACT (EDIINT) adlı başka bir standart geliştirildi.
E-ticaretin ortaya çıkması ve popülaritesinin artması için aşağıdakiler gibi bir dizi demografik ve teknolojik önkoşul vardır:
a) bilgi teknolojisine, özellikle bilgisayarlara ve internete yaygın erişim;
b) toplumun eğitim düzeyinin artırılması ve bunun sonucunda teknolojinin daha özgürce kullanılması;
c) teknolojik ilerleme ve dijital devrim, bilgisayar, cep telefonu vb. gibi birçok dijital cihazın birbiriyle etkileşime girmesini mümkün kılmıştır;
d) küreselleşme, açık ekonomi, küresel ölçekte rekabet;
e) E-ticarete herkesin, her zaman ve her yerde erişilebilirliği.
f) zamandan tasarruf etme arzusu;
g) mal ve hizmet çeşitliliğinin artması, özel mal ve hizmetlere olan talebin artması.

Elektronik ticaretin güvenliği.

Günümüzde e-ticaretin temel sorunlarından biri güvenlik sorunu olmaya devam ediyor; Riskleri en aza indirmek ve bilgileri korumak.
Bir şirketin İnternet'teki normal işleyişinin kesintiye uğramasının nedenleri şunlar olabilir: bilgisayar virüsleri, mali kayıplara yol açan dolandırıcılık; gizli bilgilerin çalınması; Tüketiciler vb. hakkındaki gizli bilgileri içeren dosyalara yasa dışı müdahale.
Bir elektronik şirketinin web sitesinin korunma derecesi, bilgilerinin gizlilik düzeyine ve uyumluluk ihtiyacına bağlıdır. Yani örneğin bir web sitesine kredi kartı numaraları giriliyorsa, web sunucusu için en yüksek düzeyde korumanın sağlanması gerekir.
E-ticarette güvenliği sürdürme görevleri, kullanıcı kimlik doğrulamasına, bilgilerin gizliliğini ve bütünlüğünü korumaya bağlıdır: kimlik doğrulama - kullanıcının kimliğinin kontrol edilmesi; gizlilik – kullanıcı tarafından sağlanan özel bilgilerin korunmasının sağlanması; Bilginin bütünlüğü – iletilen bilgilerde bozulmaların olmaması.
Bilgisayar korsanları ve virüsler, bir web sunucusundaki bilgilerin bütünlüğüne yönelik bir tehdit oluşturabilir.
Bir bilgisayar korsanı, zayıf şekilde korunan bilgisayarlara ve sunuculara sızar ve tespit edilmesi oldukça zor olan, görünmez özel programlar yükler. Tipik olarak, bu tür görünmez bir program web sitesine zarar vermez, ancak ağda büyük bir tıkanıklık yaratır. Bilgisayar korsanı, saldırısının hedefini belirler ve önceden yüklenmiş bir programı etkinleştirerek İnternet üzerinden birkaç bilgisayara bir komut gönderir. Bu, ticari bir işletmenin ağına aşırı yük getiren bir saldırıyı başlatır.
İnternet'teki bilgisayarların ve sunucuların bir diğer ciddi güvenlik ihlali türü de virüstür. Virüsler sistemin bütünlüğünü ihlal ederek bilgi güvenliği önlemlerini yanıltmaktadır. Virüslere karşı korunmanın en iyi yolu, antivirüs programlarının kurulması ve periyodik olarak güncellenmesinin yanı sıra güvenlik duvarlarının kullanılmasıdır. Güvenlik duvarı, bilgi ve dosyaları yetkisiz erişime karşı korumak ve yalnızca yetkili kişilerin erişimine izin vermek için kurumsal ağ ile İnternet arasına kurulan bir filtredir. Böylece güvenlik duvarı, bilgisayar virüslerinin ve bilgisayar korsanlarının kurumsal ağa girmesini engeller ve internete bağlanıldığında onu dış etkilerden korur.
E-ticareti gerçekleştirirken en önemli konulardan biri bilgi gizliliğidir. Kullanıcının şirkete sağladığı bilgilerin güvenilir bir şekilde korunması gerekmektedir. Bilgisayar ağları üzerinden güvenli ve gizli veri aktarımını sağlamanın yollarından biri kriptografidir, yani. verileri yalnızca belirli bir işlemde yer alan tarafların okuyabileceği şekilde şifrelemek veya kodlamak.
Şifreleme sırasında, mesajın göndereni, metni, alıcının bildiği özel bir anahtar kullanılmadan okunamayacak bir dizi karaktere dönüştürür. Şifrenin anahtarı, bilgisayarın sabit diskinde veya disketinde saklanan bir karakter dizisidir. Bilgi güvenliğinin derecesi, şifreleme algoritmasına ve bit cinsinden ölçülen anahtar uzunluğuna bağlıdır.
İki tür şifreleme algoritması vardır:

bilgilerin hem şifrelenmesi hem de şifresinin çözülmesi için her iki tarafın da bildiği aynı anahtarın kullanıldığı simetrik;
asimetrik, biri şifreleme için, diğeri şifre çözme için olmak üzere iki anahtarın kullanıldığı. Bu anahtarlardan biri özel (gizli), ikincisi ise açık (genel) anahtardır.

Mesaj gönderenin kimliğini doğrulamanın en iyi bilinen ve umut verici yöntemlerinden biri, el yazısı imzanın elektronik eşdeğeri olan elektronik dijital imzadır (EDS). İlk dijital imza 1976 yılında Stanford Üniversitesi'nden Whitfield Diffie tarafından önerildi. Rusya Federasyonu Federal Kanunu “Elektronik Dijital İmza Hakkında”, elektronik dijital imzanın, bu belgeyi sahteciliğe karşı korumayı amaçlayan, elektronik bir belgenin özel anahtarını kullanarak bilgilerin kriptografik dönüştürülmesi sonucu elde edilen bir elektronik belgenin gerekliliği olduğunu belirtir. dijital imza ve imza anahtarı sertifikasının sahibinin kimliğinin belirlenmesine olanak tanır ve ayrıca elektronik belgede bilgilerin çarpıklığının bulunmadığını tespit eder.
Elektronik dijital imza uygulama süreci aşağıdaki gibidir:
1. gönderen bir mesaj oluşturur ve bunu aynı zamanda gönderenin elektronik dijital imzası olan özel anahtarıyla şifreler. Bu durumda hem iletişim metni hem de belgenin sonuna eklenen dijital imza şifrelenir.
2. gönderen, şifrelenmiş mektubu ve kendi genel anahtarını iletişim kanalları aracılığıyla alıcıya iletir;
3. Alıcı, gönderenin genel anahtarını kullanarak mesajın şifresini çözer.
4. Dijital imzayla birlikte genellikle mevcut Hash işlevlerinden biri kullanılır. HASH işlevi, mesajı işlerken mesaj özeti adı verilen bir karakter dizisi üretir. Gönderen, mesajın bir özetini oluşturur, şifreler ve ayrıca alıcıya iletir. Alıcı, mesajı aynı HASH fonksiyonuyla işler ve ayrıca mesajın bir özetini alır. Her iki mesaj özeti de eşleşiyorsa mesaj bozulmadan alınmıştır.
5. Dijital sertifikalar, genel anahtarın belirli bir kişiye veya ticari kuruluşa ait olduğunu doğrulamak için kullanılır. Dijital sertifika, bir sertifika yetkilisi tarafından belirli bir kişinin veya kuruluşun adını ve genel anahtarını doğrulayarak kimliğini doğrulamak için verilen bir belgedir. Dijital sertifika almak için sertifika merkeziyle iletişime geçmeli ve gerekli bilgileri vermelisiniz. Her sertifika yetkilisi kendi fiyatlarını belirler ve kural olarak, bir sonraki yıl için ödeme yapıldıktan sonra yenilenme olasılığı olan bir yıl için dijital sertifika düzenler.
Güvenlik sorunlarını gidermek için e-ticaret şirketleri SSL ve SET teknolojisini kullanır.
SSL protokolü, internet üzerinden iletilen verileri korumak için kullanılan ana protokoldür. Bu protokol asimetrik ve simetrik şifreleme algoritmalarının bir kombinasyonuna dayanmaktadır. Üç ana işlev sağlar: sunucu kimlik doğrulaması, istemci kimlik doğrulaması ve SSL şifreli bağlantı.
SET protokolü ticari bankalar ile kredi kartı müşterileri arasındaki işlemlerde kullanılan bir protokoldür.

Riskler ve tehditler

Herhangi bir işletme, rekabet, hırsızlık, kamu tercihlerinin istikrarsızlığı, doğal afetler vb.'den kaynaklanan risklerle ilişkilidir. Ancak e-ticaretle ilişkili risklerin kendine has özellikleri ve kaynakları vardır:
Hırsızlar.
Arkadaşları çekememe.
Ekipman arızaları.
Güç, iletişim hatları veya ağ arızaları.
Teslimat hizmetlerine bağımlılık.
Yoğun rekabet.
Yazılım hataları.
Politika ve vergilendirmedeki değişiklikler.
Sınırlı sistem kapasitesi.

Hırsızlar
E-ticarete yönelik en popüler tehdit bilgisayar korsanlarından geliyor. Her işletme suçluların saldırı tehdidine maruz kalır ve büyük e-ticaret işletmeleri çeşitli beceri seviyelerindeki bilgisayar korsanlarının dikkatini çeker.
Bu ilginin nedenleri çeşitlidir. Bazı durumlarda bu sadece “saf bir spor ilgisidir”, diğerlerinde ise zarar verme, para çalma veya ücretsiz bir ürün veya hizmet satın alma arzusudur.
Site güvenliği aşağıdaki önlemlerin bir kombinasyonu ile sağlanır:
Önemli bilgileri yedekleyin.
Yalnızca vicdanlı insanları çalışmaya çekmenize ve personelin vicdanlılığını teşvik etmenize olanak tanıyan personel politikası. En tehlikeli hackleme girişimleri şirket içinden gelir.
Veri koruma özelliklerine sahip yazılımların kullanılması ve zamanında güncellenmesi.
Hedefleri belirlemek ve sistem zayıflıklarını tanımak için personeli eğitmek.
Başarılı ve başarısız bilgisayar korsanlığı girişimlerini tespit etmek için denetleme ve günlüğe kaydetme.
Genellikle, tahmin edilmesi kolay şifreler, yaygın yapılandırma hataları ve yazılım sürümlerinin zamanında güncellenmemesi nedeniyle bilgisayar korsanlığı başarılı olur. Kendinizi o kadar da karmaşık olmayan bir hırsızdan korumak için nispeten basit önlemler almanız yeterlidir. Son çare olarak, kritik verilerin her zaman bir yedek kopyası bulunmalıdır.

Arkadaşları çekememe
Bilgisayar korsanlarının saldırıları en büyük endişe kaynağı olsa da, e-ticaret başarısızlıklarının çoğu hala geleneksel ekonomik faktörlerden kaynaklanıyor. Büyük bir e-ticaret sitesi oluşturmak ve pazarlamak çok para gerektirir. Şirketler, marka pazarda yerleştiğinde müşteri sayısında ve gelirde anında büyüme sağlayan kısa vadeli yatırımları tercih ediyor.
E-ticaretin çöküşü, sadece bu alanda uzmanlaşmış birçok firmanın da iflasına yol açtı.

Ekipman arızaları
Faaliyetleri internet odaklı olan bir firmanın bilgisayarlarından birinin önemli bir kısmının arızalanmasının, ona ciddi zararlar verebileceği açıktır.
Yüksek yük altında çalışan veya önemli işlevler gerçekleştiren sahalar için kesinti sürelerine karşı koruma, çoğaltma yoluyla sağlanır, böylece herhangi bir bileşendeki arıza, tüm sistemin işlevselliğini etkilemez. Ancak burada da olası arıza sürelerinden kaynaklanan kayıpları ek ekipman satın alma maliyetleriyle karşılaştırmalı olarak değerlendirmek gerekir.
Apache, PHP ve MySQL çalıştıran birçok bilgisayarın kurulumu nispeten kolaydır. Ayrıca MySQL'in kopyalama motoru, veritabanları arasında bilgilerin genel senkronizasyonuna olanak tanır. Ancak çok sayıda bilgisayar aynı zamanda ekipmanın, ağ altyapısının ve barındırmanın bakımı için de yüksek maliyetler anlamına gelir.
Güç, iletişim hatları, ağ ve dağıtım hizmeti arızaları
İnternet bağımlılığı, birbirine bağlı birçok hizmet sağlayıcıya bağımlılık anlamına gelir; bu nedenle, dünyanın geri kalanıyla bağlantı aniden koparsa, yeniden kurulmasını beklemekten başka yapacak bir şey yoktur. Aynı durum elektrik kesintileri ve grevler veya diğer elektrik kesintileri ve grevler veya teslimat şirketindeki diğer aksaklıklar için de geçerlidir.
Yeterli bütçeniz varsa birden fazla servis sağlayıcıyla anlaşabilirsiniz. Bu ek maliyetler gerektirir ancak bunlardan birinin arızalanması durumunda kesintisiz çalışmayı sağlar. Kesintisiz güç kaynakları kurularak aşırı elektrik kesintilerinden korunulabilir.

Yoğun rekabet
Sokakta bir kiosk açarsanız, rekabet ortamını değerlendirmek özellikle zor değildir; rakipler, aynı ürünü göz önünde satan herkes olacaktır. E-ticarette ise durum biraz daha karmaşıktır.
Nakliye maliyetlerine, kur dalgalanmalarına ve işçilik maliyetlerindeki farklılıklara bağlı olarak rakipler herhangi bir yerde bulunabilir. İnternet oldukça rekabetçi ve hızla gelişen bir ortamdır. Popüler iş sektörlerinde neredeyse her gün yeni rakipler ortaya çıkıyor.
Rekabet riskinin değerlendirilmesi zordur. Burada en doğru strateji teknolojinin mevcut seviyesini desteklemektir.

Yazılım hataları
Bir işletme yazılıma bağımlı olduğunda, o yazılımdaki hatalara karşı savunmasızdır.

Kritik arıza olasılığı, güvenilir yazılım kurarak, hatalı donanımın her değiştirilmesinden sonra test ederek ve resmi test prosedürleri uygulayarak en aza indirilebilir. Sisteme yapılacak her türlü yeniliğin kapsamlı testlerle eşlik etmesi çok önemlidir.
Yazılım arızalarından kaynaklanan hasarı azaltmak için tüm verileri derhal yedeklemelisiniz. Herhangi bir değişiklik yaparken önceki program yapılandırmalarını kaydetmelisiniz. Olası arızaları hızlı bir şekilde tespit etmek için sistemin sürekli izlenmesi gerekir.

Vergi politikasındaki değişiklikler
Pek çok ülkede e-iş faaliyetleri yasalarla tanımlanmamakta veya yeterince tanımlanmamaktadır. Ancak bu durum sonsuza kadar devam edemez ve sorunun çözülmesi bazı işletmelerin kapanmasına kadar varabilecek bir takım sorunlara yol açacaktır. Ayrıca vergilerin daha yüksek olması tehlikesi de her zaman vardır.
Bu sorunlardan kaçınılamaz. Bu durumda yapılabilecek tek makul hareket, durumun dikkatle takip edilmesi ve işletmenin faaliyetlerinin hukuka uygun hale getirilmesi olacaktır. Kendi çıkarlarınız için lobi yapma olasılığı da araştırılmalıdır.

Sınırlı sistem kapasitesi
Sistem tasarımı aşamasında büyüme ihtimalini mutlaka göz önünde bulundurmalısınız. Başarı ayrılmaz bir şekilde yüklere bağlıdır, bu nedenle sistem ekipmanın genişletilmesine izin vermelidir.
Donanımı değiştirerek sınırlı performans kazanımları elde edilebilir, ancak en gelişmiş bilgisayarın bile hızının bir sınırı vardır, bu nedenle yazılımın, belirtilen sınıra ulaşıldığında yükü birden fazla sisteme dağıtma yeteneğini sağlaması gerekir. Örneğin, bir veritabanı yönetim sistemi birden fazla makineden gelen istekleri aynı anda işleyebilmelidir.
Sistemin genişletilmesi ağrısız değildir, ancak geliştirme aşamasında zamanında planlama, müşteri sayısındaki artışla ilişkili birçok sorunu öngörmenize ve bunları önceden önlemenize olanak tanır.

Çözüm
İnternete bağlanmak, muazzam miktarda bilgiye erişim nedeniyle çok büyük faydalar sağlasa da, güvenlik seviyesi düşük siteler için de tehlikelidir. İnternet, göz ardı edildiği takdirde hazırlıksız siteler için felakete yol açabilecek ciddi güvenlik sorunlarından muzdariptir. TCP/IP tasarımındaki hatalar, ana bilgisayar yönetiminin karmaşıklığı, programlardaki güvenlik açıkları ve diğer bazı faktörler, korunmasız siteleri saldırganların eylemlerine karşı savunmasız hale getirir.
Kuruluşların İnternet bağlantısının güvenlik sonuçlarını doğru bir şekilde değerlendirmek için aşağıdaki soruları yanıtlaması gerekir:
Bilgisayar korsanları dahili sistemleri yok edebilir mi?
Bir kuruluşun önemli bilgileri İnternet üzerinden aktarılırken tehlikeye girebilir mi (değiştirilebilir veya okunabilir mi?)
Örgütün çalışmalarına müdahale etmek mümkün mü?
Bunların hepsi önemli sorular. Büyük İnternet güvenliği sorunlarıyla mücadele etmek için birçok teknik çözüm vardır. Ancak hepsinin bir bedeli var. Birçok çözüm, güvenliği artırmak için işlevselliği sınırlandırır. Diğerleri internetin kullanım kolaylığı konusunda önemli tavizler verilmesini gerektirir. Bazıları ise önemli miktarda kaynak yatırımı gerektirir; güvenliği uygulamak ve sürdürmek için çalışma süresi, ekipman ve program satın almak ve sürdürmek için para.
İnternet güvenlik politikasının amacı, bir kuruluşun kendisini nasıl koruyacağına karar vermektir. Bir politika genellikle iki bölümden oluşur: genel ilkeler ve özel çalışma kuralları (bunlar aşağıda açıklanan özel politikaya eşdeğerdir). Genel ilkeler İnternet güvenliğine yaklaşımı yönlendirir. Neye izin verildiğini ve neyin yasak olduğunu kurallar belirler. Kurallara özel prosedürler ve çeşitli yönergeler eklenebilir.
İnternet güvenliği literatüründe üçüncü tür bir politikanın ortaya çıktığı doğrudur. Bu teknik bir yaklaşımdır. Bu yayında teknik yaklaşım, politikanın ilke ve kurallarının uygulanmasına yardımcı olan analiz olarak anlaşılacaktır. Genellikle organizasyonel yönetimin anlayamayacağı kadar teknik ve karmaşıktır. Bu nedenle politika kadar yaygın olarak kullanılamaz. Ancak olası çözümleri tanımlarken, politikayı tanımlarken gerekli bir unsur olan ödünleşimleri belirlemek vazgeçilmezdir.
İnternet politikalarının etkili olabilmesi için politika yapıcıların yapmaları gereken tavizleri anlamaları gerekir. Bu politika aynı zamanda kuruluşun diğer yönetim belgeleriyle de çelişmemelidir. Bu yayın, teknik profesyonellere İnternet politika yapıcılarına açıklamak için ihtiyaç duyacakları bilgileri sağlamaya çalışmaktadır. Daha sonra spesifik teknik kararların alınabileceği politikanın bir ön tasarımını içerir.
İnternet, birçok kişi ve kuruluşun çalışma şeklini değiştiren önemli bir kaynaktır. Ancak internet ciddi ve yaygın güvenlik sorunlarıyla karşı karşıyadır. Pek çok kuruluşun saldırganlar tarafından saldırıya uğraması veya soruşturulması, ağır mali kayıplara uğramalarına ve prestijlerini kaybetmelerine neden oluyor. Bazı durumlarda kuruluşlar geçici olarak İnternet bağlantısını kesmek zorunda kaldı ve ana bilgisayar ve ağ yapılandırmalarındaki sorunları gidermek için önemli miktarda para harcadı. Bu sorunları bilmeyen veya görmezden gelen siteler, kendilerini kötü niyetli kişilerin çevrimiçi saldırılarına maruz kalma riskine sokar. Güvenlik önlemlerini uygulamış olan siteler bile, ağ programlarında yeni açıkların ortaya çıkması ve bazı saldırganların ısrar etmesi nedeniyle aynı tehlikelere maruz kalmaktadır.
Temel sorun, İnternet'in güvenli bir ağ olarak tasarlanmamasıdır. TCP/IP'nin mevcut sürümündeki sorunlardan bazıları şunlardır:
Verilere müdahale etme ve ağdaki makinelerin adreslerini tahrif etme kolaylığı - İnternet trafiğinin büyük kısmı şifrelenmemiş verilerdir. E-postalar, şifreler ve dosyalar kolayca erişilebilen programlar kullanılarak ele geçirilebilir.
TCP/IP araçlarının güvenlik açığı - bazı TCP/IP araçları güvenli olacak şekilde tasarlanmamıştır ve yetenekli saldırganlar tarafından ele geçirilebilir; Test için kullanılan araçlar özellikle savunmasızdır.
Politika eksikliği - birçok site, bu erişimin kötüye kullanılması olasılığını hesaba katmadan, İnternet'ten kendilerine geniş erişim sağlayacak şekilde bilmeden yapılandırılmıştır; Pek çok site, çalışması için ihtiyaç duyduğundan daha fazla TCP/IP hizmetine izin verir ve bilgisayarlarıyla ilgili, saldırganlara yardımcı olabilecek bilgilere erişimi kısıtlama girişiminde bulunmaz.
Yapılandırması zordur; ana bilgisayar erişim kontrolleri karmaşıktır; Kurulumların etkinliğini doğru şekilde yapılandırmak ve doğrulamak genellikle zordur. Yanlışlıkla yanlış yapılandırılan araçlar yetkisiz erişime neden olabilir.

Kullanılmış literatür listesi
1. Bilgi teknolojisi sunucusundaki materyaller - http://www. citforum.ru
2. E-ticaret nedir? V. Zavaleev, Bilgi Teknolojileri Merkezi. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovich A.A., Tsarev V.V. Üniversiteler için ders kitapları: Elektronik ticaret 2002, 320 Sayfa.

| Yayınlar listesine

Ticari işletmelerin, perakende ağlarının ve altyapılarının bilgi güvenliğinin sağlanması

Rusya'da ticaretin gelişmesindeki mevcut eğilimler, bileşimlerindeki işletme sayısını artırarak, çeşitli operatörlerin varlıklarını konsolide ederek, birleşme ve satın almalar gerçekleştirerek, ağ dağıtım merkezleri oluşturarak şirketlerin konsolidasyonuna yol açmaktadır. Sonuç olarak, bilgi teknolojisine olan gereksinimler ve bunların ticaretin organize edilmesindeki önemi artıyor. Herhangi bir şirketteki bilgi akışlarının işlenmesi, yüksek hız ve mutlak doğruluk gerektirir.

Şekil 1. Bir ağ şirketinin yönetim sisteminde dolaşan ana bilgi akışları

Modern bir mağazayı, toptan ticaret işletmesini ve dağıtım ağını yönetmek, entegre ticaret, depo ve muhasebe için otomatik sistemlerin kullanılmasını içerir. Günümüzde yöneticiler yönetim kararlarını bilgi sistemlerinden elde edilen verilere dayanarak vermektedirler. Bu nedenle şirketin yapısı ne olursa olsun, sözleşmelerin muhasebesi, stok hareketleri, kasa ve muhasebenin tek bir bilgi alanında yürütülmesi gerekmektedir.

Ticaret sürecinin yönetimini otomatikleştirmek için işletmede aşağıdakileri içerebilecek bir bilgi sistemi oluşturulur:

- dahili muhasebe ve raporlama sistemi (meta üretimi ve dolaşımının hacmi, yapısı ve hızı, işletmenin maliyetleri ve kayıpları, brüt gelir, net kar, karlılık vb. hakkında veriler içerir);
- pazarlama bilgi sistemi (mevcut durumu, eğilimleri ve pazar gelişimine yönelik beklentileri izlemenizi sağlar). Bu bilgi sistemi aynı zamanda istihbarat sistemi olarak da tanımlanabilir çünkü rakiplerin faaliyetlerine ilişkin verilerin toplanmasını, işlenmesini ve analiz edilmesini sağlar.

Bilgi sistemine veriler şirket personelinden ve distribütörlerin ofis sistemlerinden gelir. Gelecekte, işletmenin operasyonel yönetimi, bir bütün olarak şirketin, bölge ofislerinin ve distribütörlerin faaliyetlerinin kontrolü ve analizi için kullanılacaklar. Bilgi ağı verilerinin tüketicileri şirket ve distribütör firmaların yönetici ve yöneticileridir. Şekil 1 ve 2, bir ticari işletmenin (ticaret ağı) yönetim sisteminde dolaşan ana bilgi akışlarını, ana kaynaklarını ve tüketicilerini göstererek göstermektedir.

Stratejik yönetim kararları vermek için işletmenin başkanının, finans direktörünün, baş muhasebecinin ve üst düzey yöneticilerin işletmenin durumu ve gelişim eğilimlerinin tam bir resmini sunması zorunludur (Şekil 1.).

Muhasebe departmanındaki işyerlerinde, satış katında, depoda çalışanlar genel bilgi akışının yalnızca bireysel parçalarıyla ilgilenirler. Görevleri ve işlevleri, kural olarak, malların alınmasını ve tüketimini işlemek ve kaydetmek, fatura düzenlemek, kasa üzerinde çalışmak vb. (İncir. 2.).

Ticari işletmelerin riskleri ve bilgi sistemlerinin zafiyeti göz önüne alındığında, şirketin olaylara olaydan sonra tepki vermesi gibi bir yaklaşımın benimsenmesi sorumsuzluk gibi görünmektedir. bunlar gerçekleştikten sonra. Buradan şirketin bir bilgi güvenliği sistemi oluşturması gerektiği sonucu çıkıyor. Kontrol sisteminin ana unsurlarından biridir.

Bir bilgi sisteminin çalışmasının durdurulması, işletme açısından geri dönüşü olmayan sonuçlara neden olabilir. Sigorta şirketi Gerling'e göre, Bilgi sisteminin tamamen durdurulması halinde ticaret şirketlerinin ancak 2,5 gün varlık gösterebilmesi, sürekli bir üretim döngüsüne sahip olmayan imalat işletmeleri için ise bu rakam 5 gündür.

Etkili bir bilgi güvenliği sistemi oluşturmak için ilk veriler, hedefleri ve yapısı, tehdit türleri ve kaynakları ve olası karşı önlemler hakkında net fikirler olmalıdır.

Tehdit kaynakları dış ve iç olabilir.

İncir. 2. Bir perakende işletmesinin veya perakende zincirinin çeşitli departmanlarının çalışanları için veri alışverişi sistemi

Dış tehditlerçoğunlukla rakiplerden, suç gruplarından ve yasal ve idari makamlardaki yolsuzluk yapan görevlilerden gelir. Dış tehditlerin eylemleri, pasif depolama ortamını, değişim süreci sırasında bilgilerin kaldırılmasını, bilgilerin yok edilmesini veya depolama ortamına zarar verilmesini hedefleyebilir. Tehditler şirket personeline yöneltilebilir ve rüşvet, tehdit, şantaj, ticari sır teşkil eden bilgileri elde etmek için bilgi toplamak veya önde gelen uzmanların kandırılması vb. şeklinde ifade edilebilir.

İçeriden gelen tehditler en büyük tehlikeyi oluşturuyor. Beceriksiz yöneticilerden, vicdansız ve vasıfsız personelden, zimmete para geçirenlerden, dolandırıcılardan ve modası geçmiş üretim araçlarından gelebilirler. Benlik saygısı yüksek olan bireysel çalışanlar, hırslarından (maaş düzeyi, yönetimle ilişkiler, meslektaşlar vb.) tatminsizlik nedeniyle proaktif olarak ticari bilgileri rakiplere verebilir, önemli bilgileri veya pasif medyayı yok etmeye çalışabilir. örneğin bir bilgisayar virüsü bulaştırın.

Bilgi kaynaklarının zarar görmesi şunlardan kaynaklanabilir:

gizli bilgilerin yetkisiz erişimi ve kaldırılmasının uygulanması;
gizli bilgilere veya bilgi sistemine erişim sağlamak amacıyla çalışanlara rüşvet verilmesi;
teknik keşif ve bilgi toplama araçlarını kullanarak iletişim ve bilgisayar tesislerinde ve sistemlerinde dolaşan bilgilere müdahale ederek;
ofis binalarında, resmi ve kişisel araçlarda, apartmanlarda ve yazlıklarda yapılan gizli konuşmaları gizlice dinleyerek;
müzakere süreçleri yoluyla, bilgilerin dikkatsizce ele alınması;

Ana bilgi kaynakları şunlardır: kişiler, belgeler, yayınlar, teknik medya, teknik araçlar, ürünler ve atıklar.

Yetkisiz bilgi edinmenin ana yolları şunlardır:

- gizli bilgilerin ifşa edilmesi;
- bilgi kaynaklarına yetkisiz erişim;
- şirket çalışanlarının hatası nedeniyle gizli bilgilerin sızması.

Bilgi güvenliğini sağlamaya yönelik tedbirlerin alınması sorununun önemi aşağıdaki örneklerle açıklanabilir:

1. Federal operatörün güvenlik servisi her ay bilgi güvenliği ihlalleriyle ilgili iki ila altı olayı tespit eder.
2. Bir hipermarkette genç bir kız, kasa terminallerini yerel bir ağ üzerinden eşleştirmeye yönelik programın eksiklikleri konusunda "aydınlandı". Dolandırıcılık sonucunda bayan üç ayda 900.000 ruble “kazandı”.
3. Genç bir kasiyer nakit programında değişiklik yaptı ve bir ay içinde işletmeye yaklaşık 200.000 ruble tutarında zarar verdi. Sistem yöneticisi, yetkisiz erişim gerçeğini ancak kasiyerin kovulmasından iki ay sonra yapılan bir soruşturma sırasında keşfetti.

Bu nedenle, iş dünyasının liderleri bilgi güvenliğinin önemini anlamalı ve gelecekteki eğilimleri öngörmeyi ve yönetmeyi öğrenmelidir. Güvenlik sistemlerinin etkili bir şekilde çalıştırılması tüm kuruluş için en önemli öncelik olmalıdır.

Bilgi korumasının ana yönleri:

- yasal koruma şunları içerir: Rusya Federasyonu Mevzuatı, kendi düzenleyici belgeleri, aşağıdakiler dahil: gizli bilgilerin korunmasına ilişkin düzenlemeler, ticari sır oluşturan bilgilerin bir listesi, çalışanların gizli bilgilere erişme prosedürüne ilişkin talimatlar, ofis çalışmalarına ilişkin düzenlemeler ve belge akışı, çalışanın gizli bilgilerini ifşa etmeme yükümlülüğü, çalışana ticari sırların saklanması konusunda bir hatırlatma vb.;
- Örgütsel koruma, rejim-idari ve örgütsel önlemleri içerir. Bunlar şunları içerir: bir güvenlik hizmetinin organizasyonu, iç ve erişim kontrolünün organizasyonu, ticari ve resmi sır oluşturan bilgilerin ifşa edilmemesi konusunda çalışanlarla çalışmanın organizasyonu, belgelerle çalışmanın organizasyonu, dış ve iç tehditlerin analizine ilişkin çalışmanın organizasyonu , vesaire.
- mühendislik ve teknik koruma – bilgileri korumak için tasarlanmış çeşitli teknik, elektronik ve yazılım araçlarının kullanımını içerir.

Bir bilgi güvenliği programının uygulanması, yalnızca ayrı bir araç veya önlem veya basit bir kombinasyon kullanılarak gerekli güvenlik düzeyinin sağlanmasının imkansız olduğu varsayımına dayanarak, güvenlik sistemleri ve araçlarının entegre kullanımı temelinde gerçekleştirilmelidir. onlardan. Sistemik koordinasyonları gereklidir. Bu durumda, herhangi bir tehdidin uygulanması korunan nesneyi ancak tüm koruma seviyelerinin aşılması durumunda etkileyebilir.

Herhangi bir e-ticaret sisteminin bir bütün olarak güvenliği, verilere yönelik çeşitli müdahalelerden korunmada yatmaktadır. Tüm bu müdahaleler birkaç kategoriye ayrılabilir:

· veri hırsızlığı (örneğin, bir veri tabanından kredi kartı numaralarının çalınması);

· müdahale (örneğin, bu kadar büyük miktarda bilgi için tasarlanmamış bir sitenin aşırı veri yüklemesi);

· verilerin bozulması (örneğin, ödeme ve fatura dosyalarındaki tutarların değiştirilmesi veya belirli bir siteye bilgi pompalamak için var olmayan sertifikalar veya siteler oluşturulması);

· verilerin imhası (örneğin, siteden veya kullanıcıdan siteye aktarım sırasında);

· yapılan eylemlerin reddedilmesi (örneğin, sipariş verilmesi veya malların teslim alınması);

· site tesislerinin iyi niyetli bir kullanıcı tarafından kasıtsız olarak kötüye kullanılması;

· Bilgilere yetkisiz erişim:

· Verilerin izinsiz kopyalanması, güncellenmesi veya başka şekilde kullanılması;

· yetkisiz işlemler;

· Verilerin yetkisiz olarak görüntülenmesi veya iletilmesi (örneğin, bir sohbet veya forumda takma adlar yerine ziyaretçilerin gerçek adlarının görüntülenmesi).

Aynı zamanda, bu alandaki güvenlik konularında yasal nitelikte bir dizi nesnel sorunun olduğu dikkate alınmaz - teknolojiler yasal çerçeveden çok daha hızlı gelişiyor, bir saldırganı yakalamak zor suç eylemidir ve suçun delilleri ve izleri iz bırakmadan kolaylıkla yok edilebilir. Bütün bunlar şirketlerin elektronik işlerini korumaya yönelik dikkatli bir politika geliştirmelerini gerekli kılmaktadır. Tam ve mutlak güvenlik elde edilemez çünkü e-iş sistemleri, çeşitli satıcıların çeşitli kullanıma hazır ve özel yazılım uygulamaları ve hizmet sağlayıcılar veya iş ortakları tarafından sağlanan önemli sayıda harici hizmet üzerine kuruludur. Bu bileşenlerin ve hizmetlerin önemli bir kısmı genellikle müşteri şirketinin BT uzmanları için şeffaf değildir; ayrıca çoğu, yaratıcıları tarafından sıklıkla değiştirilmekte ve geliştirilmektedir. Tüm bunları olası güvenlik kusurlarına karşı kapsamlı bir şekilde kontrol etmek imkansızdır ve bu kusurların tamamının ortadan kaldırılması daha da zordur. Ve bu mümkün olsaydı bile, tüm sistemler insanlar tarafından oluşturulduğu, değiştirildiği ve yönetildiği için sözde insan faktörü göz ardı edilemez ve Bilgisayar Güvenliği Enstitüsü'nün araştırmasına göre yanıt verenlerin %81'i şirketler için en büyük endişenin bunun olduğunu belirtti. kendi çalışanlarının kasıtlı veya kasıtsız eylemleri olan iç tehdittir.

İç tehditlere karşı koruma sorununun iki yönü vardır: teknik ve organizasyonel. Teknik yönü, bilgiye yetkisiz erişim olasılığını ortadan kaldırma isteğidir. Bu amaçla, aşağıdaki gibi iyi bilinen araçlar kullanılır:

şifreleri korumak ve bunları düzenli olarak değiştirmek; sistemi yönetmek için gerekli minimum hakları sağlamak;

Personel değişiklikleri sırasında erişim grubunun zamanında değiştirilmesi veya bir çalışanın işten çıkarılması üzerine erişimin derhal ortadan kaldırılması için standart prosedürlerin mevcudiyeti.

Organizasyonel yönü, şirketler tarafından hacker saldırılarını korumak ve önlemek için nadiren kullanılan yöntemler gibi rutin operasyonlara dönüşen rasyonel bir iç güvenlik politikası geliştirmektir:

· şirkette genel bir güvenlik kültürünün tanıtılması;

· bilgisayar korsanlığı için yazılım testi;

· her hackleme girişimini takip etmek (ne kadar başarılı olursa olsun) ve kapsamlı bir şekilde araştırmak;

· Bu tür faaliyetleri tespit etme becerisine sahip çalışan sayısını en üst düzeye çıkarmak amacıyla, hacker saldırılarının belirli işaretlerine ilişkin bilgiler de dahil olmak üzere, personele güvenlik ve siber suç konularında yıllık eğitim verilmesi;

· Bilgilerin kasıtsız olarak değiştirilmesi veya imha edilmesi durumlarını ele almak için açık prosedürlerin getirilmesi.

Dışarıdan izinsiz girişlere karşı koruma sağlamak için günümüzde, bilgisayar korsanlığı girişimlerini erken aşamalarda tespit etmeye ve mümkünse bir saldırganın harici ağlar aracılığıyla sisteme girmesini engellemeye yardımcı olan, temelde farklı türde filtrelerden oluşan birçok sistem bulunmaktadır.

· yönlendiriciler - ikinci dereceden ağlar arasında bulunan ve ona bağlı ağ bölümlerinin gelen ve giden trafiğini yöneten ağ trafiği yönetim cihazları;

· güvenlik duvarları - istek türleri üzerinde belirli bir kontrol kullanarak siteye yapılan harici saldırıları izleyen ve bastıran bir yazılım kullanarak özel ağları genel ağlardan ayırma araçları;

uygulama ağ geçitleri, ağ yöneticisinin, paket filtrelemeyi gerçekleştiren yönlendiricilere rehberlik eden güvenlik politikasını uyguladığı araçlardır;

· İzinsiz Giriş Tespit Sistemleri (IDS) - kasıtlı saldırıları ve sistem kaynaklarının kullanıcılar tarafından kasıtsız olarak kötüye kullanımını tespit eden sistemler;

· güvenlik değerlendirme araçları (özel tarayıcılar vb.) - ağı düzenli olarak sorunlara karşı tarayan ve uygulanan güvenlik politikasının etkinliğini test eden programlar.

Genel olarak bir şirketin yapması gereken ilk şey, neyin ve kimden korunması gerektiğini bulmaktır. Bu alandaki ana oyuncular şirketin hissedarları, tüketicileri, çalışanları ve iş ortaklarıdır ve bunların her birinin kendi koruma planını geliştirmesi gerekmektedir. Şirketin çeşitli iş kollarında e-ticaret uygulamalarının tüm uygulamalarına ve bunların güvenlik önlemlerine rehberlik etmek üzere tüm güvenlik gereksinimleri belgelenmelidir. Ayrıca bu, şirket içindeki güvenlik sorunlarının çözümü için ayrı bir bütçe oluşturmanıza ve bu ihtiyaçlar için maliyetleri optimize etmenize olanak tanıyacak ve her bir iş projesini geliştirirken güvenlik sorunlarının tekrarlanmasını ortadan kaldıracaktır.

Ne yazık ki günümüz uygulaması, güvenlik politikasının, çalışanları teknolojik sorunların bir tür "kağıt" talimatlardan daha önemli olduğuna inanan ve ayrıca belirli iş alanlarında uzman olmayan BT departmanının yönetimine bırakılması şeklindedir. bu aynı zamanda şirket içinde açık koruma prosedürleri gerektirir.

Ayrıca, farklı yazılımları eşleştirirken, entegre ürünlerin her birinin üreticisinin bilmediği özel sorunlar ortaya çıkabilir. Bu tür etkileşimlere ilişkin araştırmalar, her türlü teknolojik ve bütçesel karardan önce yapılmalıdır. Ve şimdiye kadar buna çok az dikkat edildi.

Birkaç tür e-ticaret tehdidi vardır:

Sisteme dışarıdan giriş.

Şirket içinden izinsiz erişim.

Bilginin kasıtlı olarak dinlenmesi ve okunması.

Verilerin veya ağların kasıtlı olarak kesilmesi.

Yanlış (dolandırıcılık amacıyla) kullanıcı kimliği.

Donanım ve yazılım korumasını hacklemek.

Bir ağdan diğerine yetkisiz kullanıcı erişimi.

Virüs saldırıları.

Hizmet reddi.

Finansal dolandırıcılık.

Bu tehditlere karşı koymak için çeşitli teknolojilere dayalı bir dizi yöntem kullanılır: şifreleme - verilerin okunmasını veya bozulmasını önleyen kodlama; gönderenin ve alıcının kimliğini doğrulayan dijital imzalar; elektronik anahtarları kullanan gizli teknolojiler; güvenlik duvarları; sanal ve özel ağlar.

Hiçbir koruma yöntemi evrensel değildir; örneğin güvenlik duvarları virüs taraması yapmaz ve veri bütünlüğünü sağlayamaz. Otomatik korumanın hacklenmesine karşı koymanın kesinlikle güvenilir bir yolu yoktur ve hacklenmesi sadece an meselesidir. Ancak bu tür bir korumanın kırılması için gereken süre de kalitesine bağlıdır. Yeni teknolojilerin biraz dengesiz bir şekilde tanıtılmasına rağmen, İnternet'teki bağlantıları ve uygulamaları korumaya yönelik yazılım ve donanımın uzun süredir geliştirildiği söylenmelidir.

E-ticaret yapan bir firmayı her aşamada ne gibi tehditler bekliyor:

Elektronik mağaza sunucusunun web sayfasının değiştirilmesi (taleplerin başka bir sunucuya yönlendirilmesi), müşteri hakkındaki bilgilerin, özellikle de kredi kartlarının üçüncü şahıslara sunulması;

Bir elektronik mağazanın çalışanları tarafından yanlış siparişlerin oluşturulması ve çeşitli dolandırıcılık biçimlerinin oluşturulması, örneğin veritabanlarının manipülasyonu (istatistikler, bilgisayar olaylarının yarısından fazlasının kendi çalışanlarının faaliyetleriyle ilişkili olduğunu göstermektedir);

E-ticaret ağları üzerinden iletilen verilerin ele geçirilmesi;

Saldırganların şirketin iç ağına sızması ve elektronik mağaza bileşenlerinin ele geçirilmesi;

Hizmet reddi saldırılarının uygulanması ve bir e-ticaret düğümünün işleyişinin bozulması veya devre dışı bırakılması.

Bu tür tehditlerin uygulanması sonucunda şirket müşteri güvenini kaybeder, potansiyel ve/veya kusurlu işlemlerden para kaybeder, elektronik mağazanın faaliyetleri sekteye uğrar ve işleyişin yeniden sağlanması için zaman, para ve insan kaynakları harcanır.

İnternet üzerinden iletilen bilgilerin ele geçirilmesiyle ilgili tehditler elbette e-ticaret sektörüyle sınırlı değil. İkincisiyle ilgili olarak özellikle önemli olan, sistemlerinin büyük ekonomik öneme sahip bilgiler içermesidir: kredi kartı numaraları, hesap numaraları, sözleşmelerin içerikleri vb.

1. E-ticareti güvence altına almak

Güvenliğin sağlanması yalnızca başarılı elektronik ticaret için gerekli bir koşul değil, aynı zamanda karşı taraflar arasındaki güvene dayalı ilişkilerin de temelidir. E-işin özü, korumasız bir kamu ağı üzerinden aktif bilgi alışverişini ve işlemleri içerir; ticari kuruluşlar arasında güvene dayalı ilişkiler olmadan bunlar kesinlikle imkansızdır. Bu nedenle, Web sunucularına ve Web uygulamalarına erişim, kullanıcıların kimlik doğrulaması ve yetkilendirilmesi, veri bütünlüğünün ve gizliliğinin sağlanması, elektronik dijital imzaların uygulanması vb. gibi görevleri içeren güvenliğin sağlanması karmaşıktır.

İnternetin ticarileşmesinin artmasıyla birlikte, ağ üzerinden iletilen bilgilerin korunmasına giderek daha fazla önem verilmektedir. İnternet üzerinden güvenli etkileşimi organize etmek için tasarlanan özel protokoller (örneğin, SET, SOCKS5, SSL, SHTTP, vb.) dünya çapında geniş çapta tanınmıştır ve yabancı geliştiriciler tarafından İnternet tabanlı bankacılık ve ticaret elektronik sistemleri oluşturmak için başarıyla kullanılmaktadır.

Yurt dışında, e-ticaretin bilgi güvenliği sorunu, bilgi güvenliği araçları, e-ticaret ve İnternet hizmeti sağlayan şirketlerin temsilcilerinden ve uzmanlarından oluşan bağımsız bir konsorsiyum - İnternet Güvenliği Görev Gücü (ISTF) tarafından ele alınmaktadır. sağlayıcılar.

ISTF, birincil ilgi odağı olması gereken on iki bilgi güvenliği alanını tanımlar. e-iş organizatörleri:

Kimlik bilgilerinin objektif olarak doğrulanması için bir mekanizma;

Kişisel, özel bilgi edinme hakkı;

Güvenlik olaylarının tanımı;

Kurumsal çevrenin korunması;

Saldırıların tanımı;

Potansiyel olarak u1086 tehlikeli içeriğin kontrolü;

Giriş kontrolu;

Yönetim;

Olaylara tepki.

Elektronik dijital imza (EDS) algoritmalarının kullanımının birçok tehdide karşı güvenilir bir koruma sağladığı bilinmektedir, ancak bu yalnızca bu algoritmaların sağlam temellere dayanan etkileşim protokolleri, yasal olarak doğru bir ilişki yapısı ve mantıksal olarak kapalı bir ağ ile birleştirilmesi durumunda doğrudur. güven sistemi.

Bilgi güvenliği, dijital imzanın hesaplanması ve ilgili anahtar çiftiyle doğrulanması işlemlerinin basit mantığına dayanmaktadır, ancak mantık temel matematiksel araştırmalara dayanmaktadır. Yalnızca özel anahtarın sahibi dijital imzayı hesaplayabilir ve özel anahtara karşılık gelen genel anahtara sahip olan herkes bunu doğrulayabilir.

Elbette bilgi güvenliğinin sağlanmasında bu alandaki uzmanların yer alması gerekir, ancak belirli ekonomik kuruluşların ekonomik güvenliğinden sorumlu olan, mülkiyet şekli ne olursa olsun, devlet kurumlarının, işletmelerin ve kurumların başkanları bu konuları sürekli olarak göz önünde bulundurmalıdır. onların görüş alanı. Onlara göre, kapsamlı bir bilgi güvenliği sistemi düzenlemenin ana işlevsel bileşenleri aşağıdadır:

İletişim protokolleri;

Kriptografi araçları;

Genel ağlardan iş istasyonlarına erişim kontrol araçları;

Antivirüs kompleksleri;

Saldırı tespit ve denetim programları;

Kullanıcı erişim kontrolünün merkezi yönetiminin yanı sıra açık ağlar üzerinden herhangi bir uygulamanın veri paketlerinin ve mesajlarının güvenli alışverişi için araçlar.

İnternette uzun süredir, standartlaştırma süreci boyunca önerilen teknolojileri dikkatli bir şekilde yönlendiren, çoğunlukla gönüllü kuruluşlardan oluşan bir dizi komite bulunmaktadır. İnternet Mühendisliği Görev Gücü'nün (IETF) büyük bir kısmını oluşturan bu komiteler, birçok önemli protokolü standartlaştırarak bunların İnternet'te benimsenmesini hızlandırdı.

Veri iletişimi için TCP/IP ailesi, e-posta için SMTP (Basit Posta Aktarım Protokolü) ve POP (Postane Protokolü) ve ağ yönetimi için SNMP (Basit Ağ Yönetim Protokolü) gibi protokoller, IETF çabalarının doğrudan sonuçlarıdır. Kullanılan güvenlik ürününün türü firmanın ihtiyaçlarına göre değişmektedir.

Güvenli veri aktarım protokolleri internette popülerdir, yani SSL, SET, IP v.6. Listelenen protokoller, değerli bilgilerin korunmasının bir gereği olarak nispeten yakın zamanda internette ortaya çıktı ve hemen fiili standartlar haline geldi.

Ne yazık ki, Rusya'da interneti ilgili faaliyet alanlarına sokma olasılığı konusunda hala çok ihtiyatlı davranıyorlar.

gizli bilgilerin aktarılması, işlenmesi ve saklanması. Benzer

Dikkatli olunması yalnızca İnternet'in açıklığından ve erişilebilirliğinden korkan yerel mali yapıların muhafazakarlığıyla değil, kısmen de Batılı imalat şirketlerinin çoğu bilgi güvenliği yazılımının pazarımıza ihracat kısıtlamalarıyla girmesiyle açıklanıyor. bunlarda uygulanan şifreleme algoritmaları. Örneğin, Microsoft ve Netscape Communications gibi üreticilerin WWW sunucuları ve tarayıcıları için yazılımların dışa aktarma sürümlerinde, SSL protokolü tarafından kullanılan tek anahtarlı ve çift anahtarlı şifreleme algoritmaları için anahtar uzunluğu konusunda tam bir bilgi sağlamayan kısıtlamalar vardır. İnternette çalışırken koruma.

Ancak e-ticaret uygulamaları iç tehditlerin yanı sıra internetten kaynaklanan dış tehditlere de açıktır. Ve her anonim ziyaretçiye ayrı bir giriş kimliği atamak mantıksız olduğundan (uygulama büyümediğinden), şirketlerin farklı bir kimlik doğrulama türü kullanması gerekir. Ayrıca sunucuların saldırıları püskürtecek şekilde hazırlanması da gerekmektedir. Son olarak kredi kartı numaraları gibi hassas veriler konusunda son derece dikkatli olmalısınız.

Veri şifreleme

İşletmenin web sitesi hassas bilgileri (tüketici kredi kartı numaraları gibi) işler. Bu tür bilgilerin herhangi bir koruma olmadan internet üzerinden iletilmesi telafisi mümkün olmayan sonuçlara yol açabilir. Herkes aktarımı dinleyebilir ve böylece gizli bilgilere erişebilir. Bu nedenle verilerin şifrelenmesi ve güvenli bir kanal üzerinden iletilmesi gerekir. Güvenli veri aktarımını gerçekleştirmek için Güvenli Yuva Katmanı (SSL) protokolü kullanılır.

Bu işlevselliği uygulamak için dijital bir sertifika satın almalı ve bunu sunucularınıza yüklemelisiniz. Sertifikasyon kuruluşlarından birinden dijital sertifika başvurusunda bulunabilirsiniz. Tanınmış ticari sertifika kuruluşları şunları içerir: VerySign, CyberTrust, GTE.

SSL, HTTP (güvenli olduğunda HTTPS olarak adlandırılır), FTP ve NNTP gibi protokollere yönelik bir şemadır. Veri aktarımı için SSL kullanırken:

Veriler şifrelenmiştir;

Kaynak sunucu ile hedef sunucu arasında güvenli bir bağlantı kuruldu;

Sunucu kimlik doğrulaması etkin.

Bir kullanıcı SSL kullanarak bir kredi kartı numarası gönderdiğinde, veriler anında şifrelenir ve böylece bir bilgisayar korsanı içeriğini göremez. SSL ağ protokolünden bağımsızdır.

Netscape'in sunucu yazılımı aynı zamanda kullanıcının kimliğini ve mesaj bütünlüğünü onaylayan ve mesajın yolunu değiştirmemesini sağlayan kimlik doğrulama (sertifikalar ve dijital imzalar) sağlar.

Kimlik doğrulama, bilgi alışverişinde ve finansal işlemlerde yer alan belgelerin gerçekliğini doğrulamak için kullanıcının kimliğinin ve dijital imzasının onaylanmasını içerir. Dijital imza, sahteciliği önlemek için bir belgeye eklenebilen verilerdir.

İzinsiz giriş tespiti

İzinsiz Giriş Tespit Sistemleri (IDS), saldırı modellerini veya izlerini tanımlayabilir ve

operatörleri uyarır ve yönlendiricileri yasa dışı izinsiz giriş kaynaklarına olan bağlantıları sonlandırmaya teşvik eder. Bu sistemler aynı zamanda hizmet reddine neden olacak girişimleri de önleyebilir.

İş tanımı

Bu çalışmanın amacı e-ticaret kavramını incelemek ve e-ticaretin bilgi güvenliği konularını ele almaktır.
Görevler:
- e-ticareti tanımlayın;
- ana unsurlarını, türlerini, olumlu ve olumsuz yönlerini dikkate almak;
- Başlıca tehdit türlerini ve e-ticaret güvenliğini sağlamanın ana yollarını göz önünde bulundurun.

Elektronik ticaretin bilgi güvenliği (EC)

İnternet kullanıcılarının sayısı birkaç yüz milyona ulaştı ve “sanal ekonomi” şeklinde yeni bir nitelik ortaya çıktı. İçinde satın almalar alışveriş siteleri aracılığıyla, yeni iş modelleri, kendi pazarlama stratejileri vb. kullanılarak yapılır.

Elektronik ticaret (EC), İnternet üzerinden mal satışına yönelik bir ticari faaliyettir. Kural olarak iki EC biçimi vardır:

* işletmeler arası ticaret (işletmeler arası, B2B);

* İşletmeler ve bireyler arasındaki ticaret, yani. tüketiciler (işletmeden tüketiciye, B2C).

EC aşağıdaki gibi yeni kavramların ortaya çıkmasına neden olmuştur:

* Elektronik mağaza – mallara talep olduğunda üreticiler veya bayiler tarafından kullanılan vitrin ve ticaret sistemleri.

* Elektronik katalog – çeşitli üreticilerin geniş ürün yelpazesini içerir.

* Elektronik açık artırma, multimedya arayüzüne karakteristik bağlantı, İnternet erişim kanalı ve ürün özelliklerinin görüntülenmesiyle İnternet teknolojilerini kullanan klasik açık artırmanın bir benzeridir.

* Elektronik büyük mağaza, sıradan şirketlerin ürünlerini etkili bir ürün markasıyla (Gostiny Dvor, GUM, vb.) sergilediği normal bir büyük mağazanın benzeridir.

* Alıcıların ilgi grupları (hayran kulüpleri, dernekler vb.) tarafından organize edildiği sanal topluluklar (topluluklar).

EC alanında internet önemli faydalar sağlıyor:

* Büyük özel şirketlerin hammadde ve bileşen satın alımlarını İnternet borsalarına aktarmasından elde ettiği tasarruf %25 - 30'a ulaşıyor;

* dünyanın dört bir yanından rakip tedarikçilerin açık artırmalarına gerçek zamanlı olarak katılmak, mal veya hizmet tedariki için programladıkları fiyatların düşmesine yol açar;

* dünyanın her yerinden alıcıların rekabeti sonucu mal veya hizmet fiyatlarının artması;

* Gerekli çalışan sayısını ve evrak hacmini azaltarak tasarruf.

Batı ülkelerinde EC'nin hakim konumu, çeşitli tahminlere göre 2007 yılına kadar 3 ila 6 trilyona ulaşacak olan B2B sektörü haline geldi. dolar. İşlerinin internete taşınmasından ilk yararlananlar donanım ve yazılım satan, bilgisayar ve telekomünikasyon hizmetleri sağlayan şirketler oldu.

Her çevrimiçi mağaza iki ana içerir bileşenler:

elektronik vitrin ve ticaret sistemi.

Elektronik vitrin, Web sitesinde satılan mallar hakkında bilgi içerir, mağaza veri tabanına erişim sağlar, müşterileri kaydeder, alıcının elektronik "sepetiyle çalışır", sipariş verir, pazarlama bilgilerini toplar ve bilgileri ticaret sistemine iletir.

Ticaret sistemi malları teslim eder ve onlar için ödemeyi işler. Ticaret sistemi, farklı şirketlerin sahip olduğu ve ayrı bir şirketin sahip olduğu bir Web sunucusunda yer kiralayan mağazaların bir koleksiyonudur.

Çevrimiçi mağaza işletim teknolojisi aşağıdaki gibi:

Alıcı, mal ve fiyat kataloğu (Web sitesi) içeren bir elektronik mağazada istenen ürünü seçer ve kişisel verileri (tam ad, posta ve e-posta adresleri, tercih edilen teslimat ve ödeme yöntemi) içeren bir formu doldurur. Ödemenin internet üzerinden yapılması durumunda bilgi güvenliğine özel önem verilmektedir.

Tamamlanan malların çevrimiçi mağazanın ticaret sistemine aktarılması,

siparişin tamamlandığı yer. Ticaret sistemi manuel veya otomatik olarak çalışır. Manuel sistem, kural olarak, malların hacmi küçük olduğunda, otomatik bir sistem satın almanın ve kurmanın mümkün olmadığı durumlarda Posyltorg prensibine göre çalışır.

Malların teslimi ve ödenmesi. Mallar alıcıya teslim edilir

olası yollardan biriyle:

* şehir içi ve çevre bölgelerdeki mağaza kuryesi;

* uzman kurye hizmeti (yurtdışından olanlar dahil);

* toplamak;

* bu tür spesifik bilgiler telekomünikasyon ağları aracılığıyla iletilir

Bilgi olarak ürün.

Malların ödemesi aşağıdaki şekillerde yapılabilir:

* ön veya malların teslim alınması sırasında;

* kuryeye veya gerçek bir mağazayı ziyaret ederken nakit para;

*posta transferi yoluyla;

* Banka işlemi;

* kapıda ödeme;

* kredi kartı kullanımı (VISA, MASTER CARD, vb.);

elektronik ödeme sistemleri aracılığıyla bireysel ticari

bankalar (TELEBANK, ASSIST vb.)

Son zamanlarda dünyada e-ticaret veya internet üzerinden ticaret oldukça hızlı bir şekilde gelişmektedir. Doğal olarak bu süreç

finansal kuruluşların doğrudan katılımıyla gerçekleştirilir. Ve bu ticaret yöntemi, en azından yeni elektronik pazarın işletmelerin ve nüfusun büyük bir kısmı tarafından kullanılabildiği yerlerde giderek daha popüler hale geliyor.

Elektronik ağlar üzerindeki ticari faaliyetler bazı fiziksel kısıtlamaları ortadan kaldırmaktadır. Bilgisayar sistemlerini birbirine bağlayan şirketler

İnternet, tatil günleri ve hafta sonları olmaksızın müşterilerine 24 saat destek sağlayabilmektedir. Ürün siparişleri her an her yerden kabul edilebilir.

Ancak bu “madalyonun” bir de diğer yüzü var. E-ticaretin en yaygın olarak geliştiği yurt dışında, işlemler veya malların maliyeti genellikle 300-400 $ ile sınırlıdır. Bunun nedeni bilgisayar ağlarındaki bilgi güvenliği sorunlarının çözümünün yetersiz olmasıdır. BM Suç Önleme ve Kontrol Komitesi'ne göre bilişim suçları uluslararası sorunlardan biri düzeyine ulaştı. Amerika Birleşik Devletleri'nde bu tür suç faaliyetleri, kârlılık açısından silah ve uyuşturucu kaçakçılığından sonra üçüncü sırada yer alıyor.

2006 yılında internet üzerinden yapılan küresel e-ticaret cirosunun hacmi,

Forrester Tech.'in tahminlerine göre 1,8 ile 2 trilyon arasında değişebilir. Bu kadar geniş bir tahmin aralığı, e-ticaretin ekonomik güvenliğinin sağlanması sorunu tarafından belirleniyor. Güvenlik seviyeleri mevcut seviyelerde kalırsa küresel e-ticaret cirosu daha da düşük olabilir. Buradan, e-işin gelişmesinde sınırlayıcı bir faktörün, e-ticaret sisteminin düşük güvenliği olduğu sonucu çıkmaktadır.

E-ticaretin ekonomik güvenliğinin sağlanması sorununun çözümü öncelikle içinde kullanılan bilgi teknolojilerinin korunması yani bilgi güvenliğinin sağlanması sorunlarının çözülmesiyle ilişkilidir.

İş süreçlerinin internet ortamına entegrasyonu güvenlik durumunda köklü bir değişikliğe yol açmaktadır. Elektronik bir belgeye dayalı hak ve sorumlulukların oluşturulması, hem belgenin göndereni hem de alıcısı olmak üzere her türlü tehdide karşı kapsamlı koruma gerektirir. Ne yazık ki, e-ticaret işletmelerinin yöneticileri, bilgi tehditlerinin ciddiyetinin ve kaynaklarının korunmasını ancak bilgi saldırılarına maruz kaldıktan sonra organize etmenin öneminin gereği gibi farkındadır. Gördüğünüz gibi sıralanan engellerin tamamı bilgi güvenliği alanıyla ilgilidir.

Ticari işlemlerin yürütülmesine ilişkin temel gereksinimler arasında gizlilik, bütünlük, kimlik doğrulama, yetkilendirme, garantiler ve gizlilik yer alır.

Bilgi güvenliği sağlanırken kullanılabilirliğinin, gizliliğinin, bütünlüğünün ve hukuki öneminin sağlanması önemlidir. temel görevler . Her tehdit, güvenli bilginin bu dört özelliğini veya niteliğini nasıl etkileyebileceği açısından değerlendirilmelidir.

Gizlilik Kısıtlanmış bilgilerin yalnızca amaçlanan kişiler tarafından erişilebilir olması gerektiği anlamına gelir. Altında bütünlük bilgi, bozulmamış bir biçimde var olma özelliği olarak anlaşılmaktadır. Kullanılabilirlik Bilgi, sistemin, bunu yapmak için uygun yetkiye sahip kişilerin bilgiye zamanında, engelsiz erişim sağlama yeteneği ile belirlenir. Yasal önemi Son yıllarda ülkemizde bilgi güvenliğine yönelik düzenleyici çerçevenin oluşturulmasıyla birlikte bilgi önem kazanmıştır.

Eğer ilk dört gereklilik teknik yollarla karşılanabiliyorsa, son ikisinin uygulanması hem teknik araçlara hem de kişi ve kuruluşların sorumluluğuna ve ayrıca tüketicileri satıcıların olası dolandırıcılıklarından koruyan yasalara uyulmasına bağlıdır.

Kapsamlı bilgi güvenliğinin sağlanması kapsamında öncelikle temel hususların vurgulanması gerekmektedir. elektronik güvenlik alanındaki sorunlar işletme içeren:

iletişim kanalları aracılığıyla iletilmesi sırasında bilgilerin korunması; bilgisayar sistemlerinin, veritabanlarının ve elektronik belge yönetiminin korunması;

bilgilerin elektronik biçimde uzun süreli saklanmasının sağlanması; işlem güvenliğinin sağlanması, ticari bilgilerin gizliliği, kimlik doğrulama, fikri mülkiyet koruması vb.

Birkaç tür e-ticaret tehdidi vardır:

 Sisteme dışarıdan sızma.

 Şirket içinden izinsiz erişim.

 Bilginin kasıtlı olarak dinlenmesi ve okunması.

 Verilerin veya ağların kasıtlı olarak bozulması.

 Yanlış (dolandırıcılık amacıyla) kimlik tespiti

kullanıcı.

 Yazılım ve donanım korumasının hacklenmesi.

 Bir ağdan diğerine yetkisiz kullanıcı erişimi.

 Virüs saldırıları.

 Hizmet reddi.

 Mali dolandırıcılık.

Bu tehditlere karşı koymak için çeşitli teknolojilere dayalı bir dizi yöntem kullanılır: şifreleme - verilerin okunmasını veya bozulmasını önleyen kodlama; gönderenin ve alıcının kimliğini doğrulayan dijital imzalar; elektronik anahtarları kullanan gizli teknolojiler; güvenlik duvarları; sanal ve özel ağlar.

Hiçbir koruma yöntemi evrensel değildir; örneğin güvenlik duvarları virüs taraması yapmaz ve veri bütünlüğünü sağlayamaz. Otomatik korumanın hacklenmesine karşı koymanın kesinlikle güvenilir bir yolu yoktur ve hacklenmesi sadece an meselesidir. Ancak bu tür bir korumanın kırılması için gereken süre de kalitesine bağlıdır. Yeni teknolojilerin biraz dengesiz bir şekilde tanıtılmasına rağmen, İnternet'teki bağlantıları ve uygulamaları korumaya yönelik yazılım ve donanımın uzun süredir geliştirildiği söylenmelidir.

Hangi tehditler bir e-ticaret şirketini bekliyorlar her aşamada :

 elektronik mağaza sunucusunun web sayfasının değiştirilmesi (taleplerin başka bir sunucuya yönlendirilmesi), müşteri hakkındaki bilgilerin, özellikle de kredi kartlarının üçüncü şahıslara sunulması;

 Bir elektronik mağazanın çalışanları tarafından sahte emirler oluşturulması ve çeşitli dolandırıcılık biçimlerinin oluşturulması, örneğin veritabanlarının manipülasyonu (istatistikler, bilgisayar olaylarının yarısından fazlasının kendi çalışanlarının faaliyetleriyle ilgili olduğunu göstermektedir);

 e-ticaret ağları üzerinden iletilen verilere müdahale edilmesi;

 Saldırganların şirketin iç ağına sızması ve elektronik mağaza bileşenlerinin ele geçirilmesi;