Использование ассиметричных крипто-алгоритмов для защиты информации во время транзакции. Основные возможности протокола шифрования SSL и SET. Объекты защиты в системе обеспечения безопасности электронной коммерции. Модель потенциального нарушителя.
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
1. Безопасность электронной коммерции
2. Шифрование данных
3. Выявление вторжений
4. Защита данных сайта
5. Объекты защиты в системе обеспечения безопасности электронной коммерции. Модель потенциального нарушителя
6. Модель потенциального нарушителя
транзакция шифрование протокол
Наибольшей потенциальной угрозой является несанкционированное получение персональных данных при использовании открытых каналов связи Интернет. Для обеспечения необходимой безопасности следующие выполнить следующие три условия:
— исключить возможность перехвата персональной или банковской информации во время транзакции;
— исключить возможность извлечения этой информации из баз данных;
— исключить возможность использовать «украденную» информацию в собственных целях.
Для защиты от перехвата, для защиты информации во время транзакции используют как симметричные, так и ассиметричные крипто -алгоритмы. Вместе с тем используются дополнительные каналы связи отличные от Интернет — каналов: факс, телефон, обычная почта и т.д.
Учитывая, что зарубежное и Российское законодательство приравнивает цифровую подпись к рукописной, широкое распространение получило аутентификация транзакций на основе концепции цифровой подписи.
При рассмотрении возможности перехвата интересующей информации, нельзя не исключить «человеческий фактор», поэтому одновременно с программно-аппаратными средствами необходимо использовать и организационные, обеспечивающие охрану информационных ресурсов, исключение шантажа, контроль за паролями и т.д.
Для защиты информации от перехвата используются протокол шифрования SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Однако в основе SSL лежит схема асимметричного шифрования с открытым ключом, в качестве шифровальной схемы используется алгоритм RSA, ввиду технических особенностей этот алгоритм считается менее надежным. SET более защищенный протокол, но технологически сложный и дорогой. Поэтому его повсеместное внедрение не осуществляется и вопрос безопасности остается открытым. Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.
В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронной коммерции, которые включают:
— Защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота;
— Обеспечение долгосрочного хранения информации в электронном виде;
— Обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.
Существует несколько видов угроз электронной коммерции:
— Проникновение в систему извне.
— Несанкционированный доступ внутри компании.
— Преднамеренный перехват и чтение информации.
— Преднамеренное нарушение данных или сетей.
— Неправильная (с мошенническими целями) идентификация пользователя.
— Взлом программно-аппаратной защиты.
— Несанкционированный доступ пользователя из одной сети в другую.
— Вирусные атаки.
— Отказ в обслуживании.
— Финансовое мошенничество.
Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование — кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.
Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом — это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.
Угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе:
— Подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;
— Создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);
— Перехват данных, передаваемых по сетям электронной коммерции;
— Проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;
— Реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.
Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.
С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет, получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.
В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить — каждый, у кого имеется открытый ключ, соответствующий закрытому ключу.
Основные функциональные компоненты организации комплексной системы информационной безопасности:
— коммуникационные протоколы;
— средства криптографии;
— механизмы авторизации и аутентификации;
— средства контроля доступа к рабочим местам из сетей общего пользования;
— антивирусные комплексы;
— программы обнаружения атак и аудита;
— средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям.
В Интернет уже давно существует целый ряд комитетов, в основном, из организаций — добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.
В Интернете популярны протоколы безопасной передачи данных, SSL,SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто.
Подобная осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет.
Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным — например, таким, как номера кредитных карт.
На бизнес-сайте обрабатывается чувствительная информация (например, номера кредитных карточек потребителей). Передача такой информации по Интернет без какой-либо защиты может привести к непоправимым последствиям. Любой может подслушать передачу и получить таким образом доступ к конфиденциальной информации. Поэтому данные необходимо шифровать и передавать по защищенному каналу. Для реализации защищенной передачи данных используют протокол SSL.
Для реализации этой функциональности необходимо приобрести цифровой сертификат и установить его на ваш(и) сервер(а). За цифровым сертификатом можно обратиться в один из органов сертификации.
SSL представляет собой схему для таких протоколов, как HTTP (называемого HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для передачи данных данные зашифрованы, между сервером-источником и сервером назначения установлено защищенное соединение; активирована аутентификация сервера.
Когда пользователь отправляет номер кредитной карточки с применением протокола SSL, данные немедленно шифруются, так что хакер не может видеть их содержание. SSL не зависит от сетевого протокола.
Программное обеспечение сервера Netscape обеспечивает также аутентификацию — сертификаты и цифровую подпись, удостоверяя личность пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего маршрута.
Аутентификация подразумевает подтверждение личности пользователя и цифровой подписи для проверки подлинности документов, участвующих в обмене информацией и финансовых операциях. Цифровая подпись представляет собой данные, которые могут быть приложены к документу во избежание подлога.
Системы выявления вторжений (Intrusion Detection Systems, IDS) могут
идентифицировать схемы или следы атак, генерировать аварийные сигналы для предупреждения операторов и побуждать маршрутизаторы прерывать соединение с источниками незаконного вторжения. Эти системы могут также предотвращать попытки вызвать отказ от обслуживания.
Для защиты данных сайта необходимо проанализировать данные, используемые сайтом, и определить политику безопасности. Эти данные могут представлять собой HTML-код, подробности о клиентах и продуктах, хранящиеся в базе данных, каталоги, пароли и другую аутентификационную информацию. Вот несколько основных принципов, которые можно использовать при определении политики безопасности данных:
Необходимо держать чувствительные данные за внутренним брандмауэром, в защищенной внутренней сети. К чувствительным данным должно быть обеспечено минимальное число точек доступа. При этом необходимо помнить, что добавление уровней безопасности и усложнение доступа в систему влияет на работу системы в целом. Базы данных, хранящие низко чувствительные данные, могут располагаться на серверах DMZ. Пароли могут храниться после преобразования с помощью односторонних алгоритмов. Однако это делает невозможным реализацию общепринятой (и популярной) возможности обрабатывать сообщения типа «Я забыл мой пароль, пожалуйста, вышлите мне его по электронной почте», хотя при этом можно создать новый пароль и высылать его в качестве альтернативы.
Чувствительная информация — такая, как номера кредитных карт — может храниться в базах данных и после шифрования. Расшифровывать ее каждый раз при возникновении такой необходимости могут только авторизованные пользователи и приложения. Однако это также влияет на скорость работы системы в целом.
Можно защитить данные сайта и с помощью компонент среднего яруса. Эти компоненты могут быть запрограммированы для аутентификации пользователей, разрешая доступ к базе данных и ее компонентам только авторизованным пользователям и защищая их от внешних угроз.
Можно реализовать дополнительные функции безопасности серверной части системы. Например, для предотвращения несанкционированного внутреннего доступа к базе данных можно использовать пользовательские функции безопасности SQL Server.
Заметьте, что не менее важно защищать и резервные копии, содержащие информацию о потребителях.
Ситуация усугубляется еще и тем, что каждую неделю обнаруживаются все новые и новые способы проникновения или повреждения данных, следить за появлением которых в состоянии только профессиональные организации, специализирующиеся на информационной безопасности.
Интеграция коммерции в Интернет сулит кардинальное изменение положения с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Поэтому прогресс в области безопасности информации во многом определяет развитие процесса электронной коммерции.
К информации ограниченного доступа можно отнести:
— Государственная тайна.:
— Коммерческая тайна ;
— Персональные данные
Доступ к общедоступной информации является открытым и ее использование не может нанести вреда участнику электронной коммерции. Что касается информации ограниченного доступа, то доступ к ней должен быть строго регламентирован, т.е. должно быть четко установлено, где, кем, в каком объеме и на каких условиях может быть осуществлено использование данной информации. Из этого следует, что информация ограниченного доступа должна подвергаться защите от воздействия различных событий, явлений, как внутренних так и внешних, способных в тои или иной мере нанести ущерб данной информации.
Под объектом защиты информации, понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация.
Объекты защиты должны соответствовать следующим условиям:
-Принадлежность к одному и тому же организационному компоненту ИС;
-Локализация (ограничение с точки зрения территориального расположения).
К объектам защиты в системе обеспечения безопасности электронной коммерции можно отнести:
-Рабочие станции пользователей;
-Рабочие станции администраторов;
-Серверы (сетевые, Баз Данных, приложений);
-Аппаратура связи (модемы, маршрутизаторы);
-Периферийные устройства (принтеры);
-Помещения (места установки оборудования, хранилища машинных носителей информации и т.д.).
Под элементом защиты подразумевается находящаяся в ИС совокупность данных, которая может содержать подлежащие защите сведения.
Элементы защиты специфицируются, как правило, для каждого отдельного объекта защиты. Так, по признаку локализации можно выделить следующие основные элементы защиты данных:
-Обрабатываемых в ЭВМ;
-На локальном жестком диске рабочей станции;
-На жестком диске сервера;
-Обрабатываемы в аппаратуре связи;
-Передаваемы по каналу (линии) связи;
-Данные, выводимые из ЭВМ на периферийные устройства.
Таким образом, в системе обеспечения безопасности электронной коммерции должен осуществлять комплексный подход к защите ИС. Комплексный подход подразумевает использование единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.
В модели нарушителя определены четыре класса потенциальных нарушителей, каждый из которых характеризуется определённым уровнем квалификации и степенью преднамеренности выполняемых действий. Опишем такую классификацию для вирусной угрозы.
Нарушители, относящиеся к классу «Н-1», представляют собой пользователей, в результате непреднамеренных действий которых может произойти инфицирование его автоматизированной системы. Примерами таких действий являются скачивание из сети Интернет непроверенных файлов и запуск их на локальном компьютере.
Нарушители класса «Н-2» выполняют преднамеренные действия, однако для проведения вирусной атаки используются известные экземпляры вредоносного кода, а также опубликованные уязвимости программного обеспечения.
Класс нарушителей «Н-3» предполагает наличие у злоумышленника более высокого уровня квалификации, что даёт ему возможность использовать вредоносный код, который может детектироваться не всеми антивирусными продуктами.
Нарушители класса «Н-4» являются наиболее опасными и обладают достаточной квалификацией для разработки вредоносного кода, который не обнаруживается антивирусными программными продуктами.
Необходимо отметить, что в рамках описанной модели предполагается, что нарушители «Н-2», «Н-3» и «Н-4» являются внешними по отношению к атакуемой рабочей станции, обладают минимум информации об автоматизированной системе пользователя.
Общая характеристика описанной модели нарушителя для любого вида угроз приведена в таблице ниже.
Модель потенциального нарушителя антивирусной безопасности
№Класс нарушителяСтепень преднамеренности действий нарушителяУровень квалификации нарушителя
1Класс «Н-1″Непреднамеренные действия-
2Класс «Н-2″Преднамеренные действияНизкий
3Класс «Н-3″Преднамеренные действияСредний
4Класс «Н-4″Преднамеренные действияВысокий
Проблема информационной безопасности экономических объектов многоаспектна и нуждается в дальнейшей проработке. В современном мире информатизация становится стратегическим национальным ресурсом, одним из основных богатств экономически развитого государства. Быстрое совершенствование информатизации, проникновение ее во все сферы жизненно важных интересов личности, общества и государства повлекли помимо несомненных преимуществ и появление ряда существенных проблем. Одной из них стала необходимость защиты информации. Учитывая, что в настоящее время экономический потенциал все в большей степени определяется уровнем развития информационной инфраструктуры, пропорционально растет потенциальная уязвимость экономики по отношению к информационным воздействиям.
Реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. С позиций системного подхода к защите информации необходимо использовать весь арсенал имеющихся средств защиты во всех структурных элементах экономического объекта и на всех этапах технологического цикла обработки информации. Методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам.
Эффективность информационной безопасности означает, что затраты на ее осуществление не должны быть больше возможных потерь от реализации информационных угроз. Планирование безопасности информации осуществляется путем разработки каждой службой детальных планов защиты информации.
Необходима четкость в осуществлении полномочий и прав пользователей на доступ к определенным видам информации, в обеспечении контроля средств защиты и немедленного реагирования на их выход из строя.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Информационная безопасность включает:
— Состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;
— Состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании;
— Состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как конфиденциальность, целостность и доступность;
-Экономическую составляющую (структуры управления в экономической сфере, включая системы сбора, накопления и обработки информации в интересах управления производственными структурами, системы общеэкономического анализа и прогнозирования хозяйственного развития, системы управления и координации в промышленности и на транспорте, системы управления энергосистем, централизованного снабжения, системы принятия решения и координации действий в чрезвычайных ситуациях, информационные и телекоммуникационные системы);
— Финансовую составляющую (информационные сети и базы данных банков и банковских объединений, системы финансового обмена и финансовых расчетов).
Обеспечение информационной безопасности должно начинаться с выявления субъектов отношений, связанных с использованием информационных систем.
Спектр их интересов может быть разделен на следующие основные категории:
— Доступность (возможность за приемлемое время получить требуемую информационную услугу),
— Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения),
— Конфиденциальность (защита от несанкционированного ознакомления).
К объектам информационной безопасности на предприятии относят:
— Информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;
— Средства и системы информатизации — средства вычислительной и информационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а так же их информационные физические поля.
Система обеспечения безопасности информации включает подсистемы:
— компьютерную безопасность;
— безопасность данных;
— безопасное программное обеспечение;
— безопасность коммуникаций.
Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов.
Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.
Безопасное программное обеспечение представляет собой общесистемные и прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы.
Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.
Политика безопасности включает в себя анализ возможных угроз и выбор соответствующих мер противодействия, являющихся совокупностью тех норм, правил поведения, которыми пользуется конкретная организация при обработке информации и ее защите.
Угроза безопасности информации — события или действия, которые могут привести к искажению, неразрешенному использованию или к разрушению информационных ресурсов управления системы, а также программных и аппаратных средств.
Защита информации (ЗИ) — комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.
Основные предметные направления ЗИ — охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.
Система — это совокупность взаимосвязанных элементов, подчиненных единой цели.
Признаками системы являются следующие:
1. Элементы системы взаимосвязаны и взаимодействуют в рамках системы.
2. Каждый элемент системы может в свою очередь рассматриваться как самостоятельная система, но он выполняет только часть функций системы.
3. Система как целое выполняет определенную функцию, которая не может быть сведена к функциям отдельно взятого элемента.
4. Подсистемы могут взаимодействовать как между собой, так и с внешней средой и изменять при этом свое содержание или внутреннее строение.
Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Система защиты информации представляет организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз
С позиций системного подхода к защите информации предъявляются определенные требования:
— Обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявления ее узких и слабых мест и противоправных действий;
— Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах экономической системы и на всех этапах технологического цикла обработки информации;
— Планирование безопасности информации осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции;
— Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб; методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам;
— Эффективность защиты информации означает, что затраты на ее осуществление не должны быть больше возможных потерь от реализации информационных угроз;
— Четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
— Предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
— Сведение к минимуму числа общих для нескольких пользователей средств защиты;
— Учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
— Обеспечение степени конфиденциальной информации;
— Обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого система защиты информации может иметь:
— Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы действия;
— Организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба безопасности, служба режима, служба защиты информации техническими средствами и др.
— Аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно системы защиты информации;
— Информационное обеспечение. Оно включает в себя документированные сведения (показатели, файлы), лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
— Программное обеспечение. К нему относятся антивирусные программы, а также программы (или части программ регулярного применения), реализующие контрольные функции при решении учетных, статистических, финансовых, кредитных и других задач;
— Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
— Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации; нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации; эргономическое обеспечение. Совокупность средств, обеспечивающих удобства работы пользователей аппаратных средств защиты информации. Информацию различают по отраслям знаний: техническая, экономическая, биологическая и т.п.
Экономическая информация относится к области экономических знаний. Она характеризует процессы снабжения, производства, распределения и потребления материальных благ. В деятельности любой фирмы присутствует информационный ресурс -это документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и др. ис), т.е. документированные знания. Информационные ресурсы в современном обществе играют не меньшую, а нередко и большую роль, чем ресурсы материальные. Знание- кому, когда и где продать товар может цениться на меньше, чем товар, и в этом плане динамика развития общества свидетельствует о том, что на «весах»материальных и информационных ресурсов последние начинают преобладать. Причем тем сильнее, чем белее общество открыто, чем более развиты в нем средства коммуникации, чем большей информацией оно располагает.
План защиты обычно содержит следующие группы сведений:
1. Политика безопасности.
2. Текущее состояние системы.
3. Рекомендации по реализации системы защиты.
4. Ответственность персонала.
5. Порядок ввода в действие средств защиты.
6. Порядок пересмотра плана и состава средств защиты.
Политика безопасности. Политика безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.
Размещено на Allbest.ru
В связи с пандемией, вызванной Covid-19, произошел рост рынка электронной коммерции. Усилились и атаки на сайты, а число дел о мошенничестве в e-commerce растет из года в год.
Если у вас есть традиционный физический магазин, вы, скорее всего, наняли охранников, вложили средства в сигнализацию и камеры наблюдения, чтобы клиенты могли делать покупки в безопасном месте. Бизнес электронной коммерции ничем не отличается в этом отношении.
Безопасный интернет-магазин обеспечивает оптимальное обслуживание клиентов, что приводит к увеличению продаж и позволяет строить позитивные отношения с покупателями.
Если вам не удастся решить вопросы безопасности электронной коммерции, вы становитесь уязвимыми. Проблемы с безопасностью могут привести к потере конфиденциальных данных клиентов, вы столкнетесь с потерей продаж, доверия, пострадает репутация бренда.
В этой статье рассмотрим практики и стратегии, которые вы можете реализовать, чтобы свести к минимуму онлайн-угрозы и повысить безопасность электронной торговли.
Что такое безопасность электронной торговли
Безопасность электронной торговли – это набор рекомендаций, разработанных для обеспечения безопасных транзакций в интернете. Это те методы, которые компаниям необходимо использовать для защиты данных клиентов.
Распространенные угрозы и проблемы безопасности в электронной торговле
Есть немало угроз, от которых нужно защитить свой интернет-магазин: взлом сайта, неправомерное использование личных данных, кража денег, фишинговые атаки, незащищенное предоставление услуг и мошенничество с картами. Разберем нескольких распространенных проблем.
- Финансовое мошенничество пришло в онлайн-бизнес с момента его появления. Хакеры совершают несанкционированные транзакции и стирают следы, нанося предприятиям значительные убытки. Некоторые мошенники подают запросы на поддельные возмещения или возвраты. Мошенничество с возвратом денег – это распространенное финансовое мошенничество, когда магазины возвращают деньги за якобы приобретенные или поврежденные товары.
- Фишинг – еще одна из угроз безопасности, когда хакеры под видом представителей компании отправляют сообщения вашим клиентам, чтобы обманом заставить их раскрыть конфиденциальную информацию, или заманивают покупателей на поддельную версию вашего сайта.
- DDoS-атаки. Атаки DDoS и DOS направлены на то, чтобы нарушить работу вашего сайта. При таких атаках на ваши серверы посылаются многочисленные запросы. Цель – сделать так, чтобы сайт упал.
- Подбор пароля. Цель – подобрать пароль к сайту и получить доступ к административной панели интернет-магазина. Для подбора паролей используют специальные программы.
- Вирусы и трояны. Это одна из самых серьезных угроз сетевой безопасности, когда злоумышленники могут заразить сайт и получить доступ к конфиденциальной информации клиентов магазинов.
Решения для безопасности в электронной коммерции
Подробнее разберем, как избежать проблем безопасности в электронной коммерции.
1. Переключитесь на HTTPS
Использование устаревших HTTP-протоколов делает сайт уязвимым для атак. Необходимо переключиться на HTTPS – протокол, который защищает пользовательские данные и конфиденциальную информацию. Для перехода на HTTPS вы должны приобрести сертификат SSL в хостинговой компании. Наличие актуального SSL-сертификата и протокола HTTPS стало стандартом, поэтому очень важно получить их, если вы не хотите терять трафик.
2. Защитите свои серверы и панели администратора
Не забывайте использовать сложные пароли и регулярно меняйте их, чтобы предотвратить взлом сайта.
3. Безопасность платежного шлюза
Следует особенно внимательно отнестись к безопасности платежных данных. Никогда не храните информацию о дебетовых и кредитных картах на своих серверах, убедитесь, что безопасность платежных шлюзов не находится под угрозой. Вы можете использовать сторонние системы обработки платежей.
4. Антивирусное программное обеспечение
Хакеры могут использовать украденную информацию по картам для размещения заказов. Антивирус или программное обеспечение для защиты от мошенничества может помочь с этой проблемой. Алгоритмы умеют распознавать вредоносные транзакции и оценивать риски мошенничества.
5. Используйте брандмауэры
Еще одна эффективная рекомендация – использовать программное обеспечение брандмауэра и плагины, которые контролируют ненадежные сети и регулируют входящий и исходящий трафик, защищают от киберугроз.
6. Используйте SSL-сертификаты
Сертификаты уровня защищенных сокетов (SSL) – это файлы, которые связывают ключ с транзакциями по разным путям в сети. SSL-сертификаты шифруют данные, чтобы защитить платежную информацию от перехвата.
Кроме того, SSL предоставляет вам свидетельство о праве собственности, чтобы хакеры не могли подделать сайт для фишинга.
7. Используйте многоуровневую безопасность
Вы можете усилить свою безопасность, используя различные уровни: сеть доставки контента, двухфакторную аутентификацию и т. д.
8. Используйте плагины
Плагины – это простой способ обеспечить безопасность сайта. Они обеспечивают защиту от вредоносных ботов, внедрения зараженного кода и сотен других серьезных атак.
9. Сделайте резервную копию данных
10. Обновляйте инструменты
Необходимо регулярного обновлять инструменты безопасности и плагины. Устанавливайте обновления и исправления сразу после их выпуска, потому что хакеры могут использовать ботов, которые определяют, на каких ресурсах установлено устаревшее программное обеспечение.
11. Выберите надежную платформу электронной коммерции
Важно выбрать безопасную платформу электронной коммерции, которая регулярно обновляется. Популярные платформы защищают вас от распространенных угроз.
12. Обучайте персонал
Сотрудники должны знать о законах и политиках, касающихся защиты пользовательской информации. Персонал, имеющий доступ к данным клиентов, не должен предоставлять учетные данные для входа посторонним.
13. Обучайте своих клиентов
Проблемы в безопасности не всегда происходят на вашей стороне, ошибки могут допускать и клиенты – использовать легкие пароли, предоставлять конфиденциальную информацию на фишинговых сайтах и т.д.
Обучайте клиентов, рассказывайте о рисках и фишинге.
Итоги
Один критический сбой может обойтись бизнесу слишком дорого, поэтому следует инвестировать в безопасность электронной коммерции столько же, сколько вы инвестируете в маркетинг или веб-дизайн. Поверьте, деньги будут потрачены не зря.
Электронная коммерция включает в себя все формы деловых сделок, при которых взаимодействие сторон осуществляется электронным способом, в результате которого право собственности передается от одного лица к другому. Существует несколько видов электронной коммерции: бизнес-бизнес (торговля между предприятиями), бизнес-потребитель (торговля между потребителем и предприятием) и потребитель-потребитель (торговля между потребителями). Электронная коммерция реализуется при помощи электронных торговых площадок, которые имеют ряд проблем, связанных с обеспечением информационной безопасности. Рассмотрим угрозы безопасности электронной коммерции:
1. Замена страницы Web-сервера электронного магазина. Первостепенный способ реализации — переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Особенно это опасно, когда заказчик вводит номер своей кредитной карты.
2. Создание ложных заказов и мошенничество со стороны сотрудников электронного магазина. Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками.
3. Перехват данных, передаваемых в системе электронной коммерции. Особую опасность представляет собой перехват информации о кредитной карте заказчика. Проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. Реализация атак типа «отказ в обслуживании» и нарушение функционирования или выведение из строя узла электронной коммерции.
Все это говорит о необходимости комплексной защиты. Реально защита часто ограничивается использованием криптографии (40-битной версии протокола SSL) для защиты информации между браузером клиента и сервером электронного магазина. Комплексная система защиты должна строиться с учетом четырех уровней любой информационной системы. Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня является браузер Opera, Steam сервис цифрового распространения компьютерных программ и игр, приложение интернет магазина AliExpress на смартфонах и др.
Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет реализовать атаку на ресурсы электронного магазина. Опасны и внешние и внутренние атаки. По статистике основная опасность исходит от внутренних пользователей электронного магазина (операторов системы). Для получения несанкционированного доступа к информации о заказах в базе данных есть следующие возможности: прочитать записи БД из MS Query, который позволяет получать доступ к записям многих СУБД при помощи механизма ODBC или SQL-запросов, прочитать нужные данные средствами самой СУБД (уровень СУБД), прочитать файлы базы данных непосредственно на уровне операционной системы. Затем отправить по сети пакеты со сформированными запросами на получение необходимых данных от СУБД или перехватить эти данные в процессе их передаче по каналам связи (уровень сети).
Обычно основное внимание уделяется нижним двум уровням — уровню сети и операционной системы. На уровне сети применяются маршрутизаторы и межсетевые экраны. На уровне ОС — встроенные средства разграничения доступа. Этого недостаточно. Предположим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина, либо перехватил их в процессе передачи по сети или подобрал при помощи специальных программ. И межсетевой экран, и операционная система пропускает злоумышленника ко всем ресурсам из-за предъявленных идентификатора и пароля авторизованного пользователя. Это является особенностью функционирования экрана и системы. Поэтому особое внимание следует уделить решения проблем, связанных с обеспечением защиты баз данных информационной системы торговой площадки.
Эти средства позволяют своевременно обнаруживать и блокировать сетевые атаки типа «отказ в обслуживании», направленные на нарушение работоспособности электронного магазина. Одним из примеров средств обнаружения атак — система Real Secure, разработанная компанией Internet Security Systems (Inc).
Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. Необходимо своевременно обнаружить и устранить уязвимости информационной системы на всех уровнях. Помогут средства анализа защищенности и сканеры безопасности. Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т. ч. и удаленных на значительные расстояния. В этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях — Internet Scanner, System Scanner и Database Scanner. Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обеспечения информационной безопасности электронной коммерции. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг.Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина.
Часто организации используют частичные подходы для решения проблем с защитой. Эти подходы основаны на их восприятии рисков безопасности. Администраторы безопасности имеют тенденцию реагировать только на те риски, которые им понятны. На самом деле таких рисков может быть больше. Администраторы понимают возможное неправильное использование ресурсов системы и внешних атаки, но зачастую плохо знают об истинных уязвимостях в сетях. Постоянное развитие информационных технологий вызывает целый ряд новых проблем. Эффективная система обеспечения безопасности предполагает наличие хорошо тренированного персонала, который выполняет функции. Придерживается стандартизованного подхода к обеспечению безопасности, внедряет процедуры и технические средства защиты, проводит постоянный контроль подсистем аудита, обеспечивающих анализ потенциальных атак.
Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает. Появляются новые неучтенные угрозы и уязвимости системы. Есть понятие — адаптивная безопасность сети. Она позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Состоит из трех основных элементов — технологии анализа защищенности, технологии обнаружения атак, технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, но наращивая число проверок и исследуя все ее уровни. Обнаружение атак — оценка подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа журналов регистрации операционной системы и прикладного ПО и сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия.
Важнейшей частью в электронной коммерции, является система безналичных расчетов с помощью пластиковых карт, которая называется электронной платежной системой, и именно эта часть чаще всего, подвергается атакам и всякого рода посягательствам со стороны злоумышленников. Современную практику банковских операций, торговых сделок и взаимных платежей невозможно представить без расчетов с применением пластиковых карт. Поэтому для обеспечения нормальной работы электронная платежная система должна быть надежно защищена.
C точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:
— пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом;
— обработка информации внутри организации отправителя и получателя сообщений;
— доступ клиентов к средствам, аккумулированным на счетах.
Пересылка платежных и других сообщений связана с такими особенностями:
— внутренние системы организаций отправителя и получателя должны обеспечивать необходимую защиту при обработке электронных документов (защита оконечных систем);
— взаимодействие отправителя и получателя электронного документа осуществляется опосредовано — через канал связи.
Эти особенности порождают следующие проблемы:
— взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);
— защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности документов);
— защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
— обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).
Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:
— управление доступом на оконечных системах;
— контроль целостности сообщения;
— обеспечение конфиденциальности сообщения;
— взаимная аутентификация абонентов;
— невозможность отказа от авторства сообщения;
— гарантии доставки сообщения;
— невозможность отказа от принятия мер по сообщения;
— регистрация последовательности сообщений;
— контроль целостности последовательности сообщений.
В целом очевидно, что электронная торговля как новая форма мирового рыночного хозяйства повышает эффективность экономики, а также формирует условия для ускорения промышленного роста. В процессе развития электронная торговля будет сталкиваться с новыми проблемами, в том числе проблемами информационной безопасности. Поэтому системы защиты электронной коммерции должны строиться с учетом четырех уровней любой информационной системы. Система защиты должна эффективно работать на всех уровнях, а поэтому проблеме обеспечения информационной безопасности следует уделить особое внимание, заключающееся в выборе необходимых средств защиты ещё на этапе проектирования информационных систем электронных торговых площадок.
1. Энциклопедия интересных статей: сайт. — URL: http://rusadvice.org/
2. Интернет-издание, специализирующееся на бухгалтерской, юридической и налоговой тематике: сайт. — URL: http://www.klerk.ru/
3. Информационно-развлекательная сеть: сайт. — URL: http://www.lghost.ru/
4. Сайт, посвященный вопросам информационной безопасности: сайт. — URL: http://protect.htmlweb.ru/
5. Балабанов, И. Т. Интерактивный бизнес: Учебное пособие / И. Т. Балабанов. — СПб.и др.: Питер: Питер бук, 2007. — 123 с.
7. Гаврилов, Л. П. Мобильные телекоммуникации в электронной коммерции и бизнесе: учебное пособие для студентов вузов, обучающихся по специальности «Коммерция (торговое дело)» / Л. П. Гаврилов, С. В. Соколов. — М.: Финансы и статистика, 2006. — 334 с.
8. Леонов, А. Тенденции российской электронной торговли / А. Леонов // Современная торговля. — 2009. — № 3. — С. 36–39.
9. Савинов, Ю. А. Проблемы использования сети Интернет для международной электронной торговли / Ю. А. Савинов // Внешнеэкономический бюллетень. — 2005. — N 3. — С. 3–12.
10. Филин, С. А. Информационная безопасность: учебное пособие / С. А. Филин. — М.: Альфа-Пресс, 2006. — 410 с.
Основные термины (генерируются автоматически): электронная коммерция, электронный магазин, информационная система, информационная безопасность, операционная система, средство, уровень, уровень сети, баз данных, канал связи.