Безопасность электронной коммерции.
Термин «электронная коммерция» объединяет в себе множество различных технологий, в числе которых – EDI (Electronic Data Interchange – электронный обмен данными), электронная почта, Интернет, интранет (обмен информацией внутри компании), экстранет (обмен информацией с внешним миром).
Сферы применения системы электронной коммерции достаточно разнообразны. Они включают в себя широкий спектр деловых операций (бизнес-операций) и сделок, в частности:
установление контакта между потенциальным заказчиком и поставщиком;
электронный обмен необходимой информацией;
предпродажную и послепродажную поддержку клиента, купившего товар в электронном магазине (обеспечение подробной информацией о продукте или услуге, передача инструкций по использованию продукта, оперативные ответы на возникающие у покупателя вопросы);
осуществление непосредственно акта продажи товара или услуги;
электронную оплату покупки (с использованием электронного перевода денег, кредитных карточек, электронных денег, электронных чеков);
поставку покупателю продукта, включая как управление доставкой и его отслеживанием для физических товаров, так и непосредственную доставку товаров, которые могут распространяться электронным путем;
создание виртуального предприятия, представляющего собой группу независимых компаний, которые объединяют свои различные виды ресурсов для получения возможностей предоставления продуктов и услуг, недоступных для самостоятельно функционирующих фирм;
реализацию самостоятельных бизнес-процессов (совокупность связанных между собой операций, процедур, с помощью которых реализуется конкретная коммерческая цель деятельности компании в рамках определенной организационной структуры), совместно осуществляемых фирмой-производителем и ее торговыми партнерами.
Не менее разнообразны и сферы деятельности, в рамках которых может осуществляться электронная коммерция. К основным сферам деятельности, где может протекать электронная коммерция, относятся:
электронный маркетинг (Интернет-маркетинг);
финансирование создания электронных магазинов, а также их страхование;
коммерческие операции, включающие в себя заказ, получение товара и оплату;
совместная разработка несколькими компаниями нового продукта или услуги;
организация распределенного совместного производства продукции;
администрирование бизнеса (налоги, таможня, разрешения, концессии и т
транспортное обслуживание, техника перевозок и способы снабжения;
ведение бухгалтерского учета;
разрешение конфликтных ситуаций и спорных вопросов.
Электронная коммерция может осуществляться на разных уровнях:
интернациональном (международном).
Безопасность электронной коммерции.
Безопасность — это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.
Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности предприятия. Как считают западные специалисты, утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству предприятия. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны.
Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям.
Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят «классические» методы шпионажа (шантаж, подкуп и др. ), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк.
Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.
С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений — компьютерные преступления, т. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.
Противодействовать компьютерной преступности сложно, что главным образом объясняется:
• новизной и сложностью проблемы;
• сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;
• возможностью выполнения преступления с использованием средств удаленного доступа, т. злоумышленника может вообще не быть на месте преступления;
•трудностями сбора и юридического оформления доказательств компьютерного преступления.
Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основных блока: общие принципы обеспечения защиты, организационные принципы и принципы реализации системы защиты.
К общим принципам обеспечения защиты относятся:
1) принцип неопределенности. Обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты;
2) принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности;
3) принцип минимального риска. Заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени;
4)принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз.
К организационным принципам относят:
1)принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые — «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом». Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна;
2)принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована;
3)принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей;
4)принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности.
Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции.
Принято выделять следующие категории электронной коммерции: бизнес—бизнес, бизнес—потребитель, бизнес—администрация. При этом независимо от категории электронной коммерции выделяют классы субъектов: финансовые институты, клиенты и бизнес организации.
Открытый характер интернет технологий, доступность передаваемой по сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по сети информации, доступности сервисов и управляемости инфраструктуры.
Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории:
• доступность (возможность за приемлемое время получить требуемую услугу);
• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения);
• конфиденциальность (защита информации от несанкционированного ознакомления).
Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции.
Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.
Основные угрозы информационной безопасности электронной коммерции связаны:
• с умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы);
• неумышленными действиями обслуживающего персонала (ошибки, упущения и т
• воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои);
• воздействием техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т.
Угрозы безопасности могут быть связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Поэтому невозможно создать абсолютно безопасную систему. При создании системы безопасности электронной коммерции необходимо минимизировать степень риска возникновения ущерба исходя из особенностей угроз безопасности и конкретных условий предприятия, занимающегося электронной коммерцией.
При этом необходимо основываться на принципе достаточности, который заключается в том, что проводимые в интересах обеспечения безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны.
Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае система безопасности будет экономически неэффективна. В соответствии с этим для обоснования эффективности мероприятий по обеспечению безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопасности, и стоимости проведения мероприятий по обеспечению безопасности электронной коммерции.
Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения информационной безопасности можно разделить на прямые и косвенные.
Прямые убытки могут быть выражены в стоимости:
• восстановления поврежденной или физически утраченной информации в результате пожара, стихийного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компьютерных систем и действий вирусов;
• ничтожных (незаконных) операций с денежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникновения в компьютерные системы и сети, а также злоумышленной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или перезаписи информации, передачи и получения сфальсифицированных поручений в сетях электронной передачи данных и др
• возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции — клиентам, пользователям).
Косвенные убытки могут выражаться в текущих расходах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, возникающих при вынужденной приостановке коммерческой деятельности предприятия из-за нарушения безопасности предприятия.
Убытки и связанные с их возникновением риски относятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому не будем останавливаться на их подробном анализе.
Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты:
• отношение стоимости системы защиты (включая текущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при нарушении безопасности;
• отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности.
Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возмещению убытков, понесенных в результате нарушения безопасности, то мероприятия по обеспечению безопасности считаются эффективными.
Витрина интернет-магазина.
Дэвид Козье Электронная коммерция: Пер. с англ. — Москва: Издательско-торговый дом «Русская Редакция», 2011. — 288 с: ил.
Юрасов А. Электронная коммерция; Дело — Москва, 2014. — 480 c.
Поможем в написании учебной работы
Поиск по сайту:Главная
О нас
Популярное
ТОП
Новые страницы
Случайная страница
Изречения для студентов
Пожаловаться на материал
Обратная связь
FAQ
Информационная безопасность электронной коммерции (эк)
Количество
пользователей Интернета достигло
несколько сот миллионов и появилось
новое качество в виде «виртуальной
экономики». В ней покупки совершаются
через торговые сайты, с использованием
новых моделей ведения бизнеса, своей
стратегией маркетинга и пр.
Электронная
коммерция (ЭК) – это предпринимательская
деятельность по продаже товаров через
Интернет. Как правило выделяются две
формы ЭК:
- торговля
между предприятиями (business
to
business,
B2B); - торговля
между предприятиями и физическими
лицами, т.е. потребителями (business
to
consumer,
B2С).
ЭК
породила такие новые понятия как:
- Электронный
магазин – витрина и торговые системы,
которые используются производителями
или дилерами при наличии спроса на
товары. - Электронный
каталог – с большим ассортиментом
товаров от различных производителей. - Электронный
аукцион – аналог классического аукциона
с использованием Интернет-технологий,
с характерной привязкой к мультимедийному
интерфейсу, каналу доступа в Интернет
и показом особенностей товара. - Электронный
универмаг – аналог обычного универмага,
где обычные фирмы выставляют свой
товар, с эффективным товарным брендом
(Гостиный двор, ГУМ и т.д.). - Виртуальные
комъюнити (сообщества), в которых
покупатели организуются по группам
интересов (клубы болельщиков, ассоциации
и т.д.).
Интернет
в области ЭК приносит существенные
выгоды:
- экономия
крупных частных компаний от перевода
закупок сырья и комплектующих на
Интернет-биржи достигает 25 — 30%; - участие
в аукционе конкурирующих поставщиков
со всего мира в реальном масштабе
времени приводит к снижению
запрограммированных ими за поставку
товаров или услуг цен; - повышение
цен за товары или услуги в результате
конкуренции покупателей со всего мира; - экономия
за счет сокращения числа необходимых
сотрудников и объема бумажного
делопроизводства.
Доминирующее
положение в ЭК в западных странах стал
сектор В2В, который к 2007 году по разным
оценкам достигнет от 3 до 6 трлн. долларов.
Первыми
получили преимущества от перевода
своего бизнеса в Интернет компании,
продающие аппаратно-программные средства
и представляющие компьютерные и
телекоммуникационные услуги.
Каждый
интернет-магазин включает две основных
составляющих: электронную витрину и
торговую систему.
Электронная
витрина содержит на Web-сайте
информацию о продаваемых товарах,
обеспечивает доступ к базе данных
магазина, регистрирует покупателей,
работает с электронной «корзиной»
покупателя, оформляет заказы, собирает
маркетинговую информацию, передает
сведения в торговую систему.
Торговая
система доставляет товар и оформляет
платеж за него. Торговая система — это
совокупность магазинов, владельцами
которых являются разные фирмы, берущие
в аренду место на Web-сервере,
который принадлежит отдельной компании.
Технология
функционирования интернет-магазина
выглядит следующим образом:
- Покупатель
на электронной витрине с каталогом
товаров и цен (Web-сайт)
выбирает нужный товар и заполняет форму
с личными данными (ФИО, почтовый и
электронный адреса, предпочитаемый
способ доставки и оплаты). Если происходит
оплата через Интернет, то особое внимание
уделяется информационной безопасности. - Передача
оформленного товара в торговую систему
интернет-магазина, где происходит
комплектация заказа. Торговая система
функционирует ручным или автоматизированным
способом. Ручная система функционирует
по принципу Посылторга, при невозможности
приобретения и наладки автоматизированной
системы, как правило, при незначительном
объеме товаров. - Доставка
и оплата товара. Доставка товара
покупателю осуществляется одним из
возможных способов:
- курьером
магазина в пределах города и окрестностей; - специализированной
курьерской службой ( в том числе из-за
границы); - по
телекоммуникационным сетям доставляется
такой специфический товар как информация.
Оплата
товара может осуществляться следующими
способами:
- предварительной
или в момент получения товара; - наличными
курьеру или при визите в реальный
магазин; - при
помощи кредитных карт (VISA,
MASTER
CARD
и др);
посредством
электронных платежных систем через
отдельные коммерческие банки (ТЕЛЕБАНК,
ASSIST
и др.
В
последнее время электронная коммерция
или торговля посредством сети Интернет
в мире развивается достаточно бурно. Естественно, что этот процесс осуществляется
при непосредственном участии
кредитно-финансовых организаций. И этот
способ торговли становится все более
популярным, по крайней мере, там, где
новым электронным рынком можно
воспользоваться значительной части
предприятий и населения.
Коммерческая
деятельность в электронных сетях снимает
некоторые физические ограничения. Компании, подключая свои компьютерные
системы к Интернет, способны предоставить
клиентам поддержку 24 часа в сутки без
праздников и выходных. Заказы на продукцию
могут приниматься в любое время из
любого места.
Однако
у этой «медали» есть своя оборотная
сторона. За рубежом, где наиболее широко
развивается электронная коммерция,
сделки или стоимость товаров часто
ограничиваются величиной 300-400 долларов. Это объясняется недостаточным решением
проблем информационной безопасности
в сетях ЭВМ. По оценке Комитета ООН по
предупреждению преступности и борьбе
с ней, компьютерная преступность вышла
на уровень одной из международных
проблем. В США этот вид преступной
деятельности по доходности занимает
третье место после торговли оружием и
наркотиками.
Объем
мирового оборота электронной коммерции
через Интернет в 2006 году, по прогнозам
компании Forrester
Tech. ,
может составить от 1,8 до ,2 трлн. долл. Столь широкий диапазон прогноза
определяется проблемой обеспечения
экономической безопасности электронной
коммерции. Если уровень безопасности
сохранится на сегодняшнем уровне, то
мировой оборот электронной коммерции
может оказаться еще меньшим. Отсюда
следует, что именно низкая защищенность
системы электронной коммерции является
сдерживающим фактором развития
электронного бизнеса.
Решение
проблемы обеспечения экономической
безопасности электронной коммерции в
первую очередь связано с решением
вопросов защиты информационных
технологий, применяемых в ней, то есть
с обеспечением информационной
безопасности.
Интеграция
бизнес-процессов в среду Интернет
приводит к кардинальному изменению
положения с обеспечением безопасности. Порождение прав и ответственности на
основании электронного документа
требует всесторонней защиты от всей
совокупности угроз, как отправителя
документа, так и его получателя.
К
сожалению, руководители предприятий
электронной коммерции в должной степени
осознают серьезность информационных
угроз и важность организации защиты
своих ресурсов только после того, как
последние подвергнуться информационным
атакам. Как видно, все перечисленные
препятствия относятся к сфере
информационной безопасности.
Среди
основных требований к проведению
коммерческих операций – конфиденциальность,
целостность, аутентификация, авторизация,
гарантии и сохранение тайны.
При
достижении безопасности информации
обеспечение ее доступности,
конфиденциальности, целостности и
юридической значимости являются базовыми
задачами. Каждая угроза должна рассматриваться
с точки зрения того, как она может
затронуть эти четыре свойства или
качества безопасной информации. Конфиденциальность
означает, что информация ограниченного
доступа должна быть доступна только
тому, кому она предназначена. Под
целостностью
информации понимается ее свойство
существования в неискаженном виде. Доступность
информации определяется способностью
системы обеспечивать своевременный
беспрепятственный доступ к информации
субъектов, имеющих на это надлежащие
полномочия. Юридическая
значимость
информации приобретает важность в
последнее время, вместе с созданием
нормативно-правовой базы безопасности
информации в нашей стране.
Если
первые четыре требования можно обеспечить
техническими средствами, то выполнение
двух последних зависит и от технических
средств, и от ответственности отдельных
лиц и организаций, а также от соблюдения
законов, защищающих потребителя от
возможного мошенничества продавцов.
В
рамках обеспечения комплексной
информационной безопасности, прежде
всего, следует выделить ключевые проблемы
в области безопасности электронного
бизнеса,
которые включают: защиту информации
при ее передаче по каналам связи; защиту
компьютерных систем, баз данных и
электронного документооборота;
обеспечение долгосрочного хранения
информации в электронном виде; обеспечение
безопасности транзакций, секретность
коммерческой информации, аутентификацию,
защиту интеллектуальной собственности
и др.
Существует
несколько видов угроз электронной
коммерции:
- Проникновение
в систему извне. - Несанкционированный
доступ внутри компании. - Преднамеренный
перехват и чтение информации. - Преднамеренное
нарушение данных или сетей. - Неправильная
(с мошенническими целями) идентификация
пользователя. - Несанкционированный
доступ пользователя из одной сети в
другую.
Для
противодействия этим угрозам используется
целый ряд методов, основанных на различных
технологиях, а именно: шифрование –
кодирование данных, препятствующее их
прочтению или искажению; цифровые
подписи, проверяющие подлинность
личности отправителя и получателя;
stealth-технологии с использованием
электронных ключей; брандмауэры;
виртуальные и частные сети.
Ни
один из методов защиты не является
универсальным, например, брандмауэры
не осуществляют проверку на наличие
вирусов и не способны обеспечить
целостность данных. Не существует
абсолютно надежного способа противодействия
взлому автоматической защиты, и ее взлом
– это лишь вопрос времени. Но время
взлома такой защиты, в свою очередь,
зависит от ее качества. Надо сказать,
что программное и аппаратное обеспечение
для защиты соединений и приложений в
Интернет разрабатывается уже давно,
хотя внедряются новые технологии
несколько неравномерно.
Какие
угрозы
подстерегают компанию, ведущую электронную
коммерцию на
каждом этапе:
- подмена
web-страницы сервера электронного
магазина (переадресация запросов на
другой сервер), делающая доступными
сведения о клиенте, особенно о его
кредитных картах, сторонним лицам; - создание
ложных заказов и разнообразные формы
мошенничества со стороны сотрудников
электронного магазина, например,
манипуляции с базами данных (статистика
свидетельствует о том, что больше
половины компьютерных инцидентов
связано с деятельностью собственных
сотрудников); - перехват
данных, передаваемых по сетям электронной
коммерции; - проникновение
злоумышленников во внутреннюю сеть
компании и компрометация компонентов
электронного магазина; - реализация
атак типа «отказ в обслуживании» и
нарушение функционирования или вывода
из строя узла электронной коммерции.
В
результате реализации таких угроз
компания теряет доверие клиентов, теряет
деньги от потенциальных и/или несовершенных
сделок, нарушается деятельность
электронного магазина, затрачивает
время, деньги и человеческие ресурсы
на восстановление функционирования.
Конечно,
угрозы, связанные с перехватом передаваемой
через Интернет информации, присущи не
только сфере электронной коммерции. Особое значение применительно к последней
представляет то, что в ее системах
обращаются сведения, имеющие важное
экономическое значение: номера кредитных
карт, номера счетов, содержание договоров
и т.
На
первый взгляд, может показаться, что
каждый подобный инцидент – не более
чем внутреннее дело конкретного субъекта
электронного бизнеса. Однако вспомним
2000-й год, который был ознаменован случаями
массового выхода из строя ведущих
серверов электронного бизнеса,
деятельность которых носит поистине
общенациональный характер: Yahoo!, eBay,
Amazon, Buy, CNN, ZDNet, Datek и E*Trade. Расследование,
проведенное ФБР, показало, что указанные
серверы вышли из строя из-за многократно
возросшего числа направленных в их
адрес запросов на обслуживание в
результате реализованных DoS-атак. Например, потоки запросов на сервер Buy
превысили средние показатели в 24 раза,
а предельные – в 8 раз. По разным оценкам,
экономический ущерб, понесенный
американской экономикой от этих акций,
колеблется вокруг полуторамиллиардной
отметки.
Обеспечение
безопасности является не только
необходимым условием успешного ведения
электронного бизнеса, но и фундаментом
для доверительных отношений между
контрагентами. Сама суть электронного
бизнеса предполагает активный
информационный обмен, проведение
транзакций через незащищенную сеть
общего доступа, которые попросту
невозможны без доверительных отношений
между субъектами бизнеса. Поэтому
обеспечение безопасности имеет
комплексный характер, включая такие
задачи, как доступ к Web-серверам и
Web-приложениям, аутентификация и
авторизация пользователей, обеспечение
целостности и конфиденциальности
данных, реализация электронной цифровой
подписи и проч.
За
рубежом решением проблемы информационной
безопасности электронного бизнеса
занимается независимый консорциум –
Internet Security Task Force (ISTF) – общественная
организация, состоящая из представителей
и экспертов компаний-поставщиков средств
информационной безопасности, электронного
бизнеса и провайдеров Интернет — услуг.
Консорциум
ISTF выделяет двенадцать
областей информационной безопасности,
на которых в первую очередь должно быть
сосредоточено внимание организаторов
электронного бизнеса:
- механизм
объективного подтверждения идентифицирующей
информации; - право
на персональную, частную информацию; - контроль
потенциально опасного содержимого;
Известно,
что надежно защититься от многих угроз
позволяет применение алгоритмов
электронной цифровой подписи (ЭЦП),
однако это справедливо только в том
случае, если эти алгоритмы вплетены в
обоснованные протоколы взаимодействия,
юридически верную конструкцию отношений
и логически замкнутую систему доверия.
В
основе защиты информации лежит простая
логика процессов вычисления цифровой
подписи и ее проверки парой соответствующих
ключей, впрочем, логика, базирующаяся
на фундаментальных математических
исследованиях. Вычислить цифровую
подпись может только владелец закрытого
ключа, а проверить – каждый, у кого
имеется открытый ключ, соответствующий
закрытому ключу.
Безусловно,
обеспечением информационной безопасности
должны заниматься специалисты в данной
области, но руководители органов
государственной власти, предприятий и
учреждений независимо от форм
собственности, отвечающие за экономическую
безопасность тех или иных хозяйственных
субъектов, должны постоянно держать
данные вопросы в поле своего зрения. Для них ниже приведены основные
функциональные компоненты организации
комплексной системы информационной
безопасности:
- механизмы
авторизации и аутентификации; - средства
контроля доступа к рабочим местам из
сетей общего пользования; - программы
обнаружения атак и аудита; - средства
централизованного управления контролем
доступа пользователей, а также безопасного
обмена пакетами данных и сообщений
любых приложений по открытым сетям.
В
Интернет уже давно существует целый
ряд комитетов, в основном, из организаций
— добровольцев, которые осторожно
проводят предлагаемые технологии через
процесс стандартизации. Эти комитеты,
составляющие основную часть Рабочей
группы инженеров Интернета (Internet
Engineering Task Force, IETF) провели стандартизацию
нескольких важных протоколов, ускоряя
их внедрение в Интернете. Такие протоколы,
как семейство TCP/IP для передачи данных,
SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol)
для электронной почты, а так же SNMP (Simple
Network Management Protocol) для управления сетью –
непосредственные результаты усилий
IETF. Тип применяемого продукта защиты
зависит от нужд компании.
В
Интернет популярны протоколы безопасной
передачи данных, а именно SSL, SET, IP v. Перечисленные протоколы появились в
Интернет сравнительно недавно, как
необходимость защиты ценной информации,
и сразу стали стандартами де-факто. Напомним, что Интернет создавалась
несколько десятилетий назад для научного
обмена информацией не имеющей большой
стоимости.
К
сожалению, в России пока еще с большой
осторожностью относятся к возможности
внедрения Интернет в те сферы деятельности,
которые связаны с передачей, обработкой
и хранением конфиденциальной информации. Подобная осторожность объясняется не
только консервативностью отечественных
финансовых структур, опасающихся
открытости и доступности Интернет, но,
отчасти, и тем, что большинство программных
средств защиты информации западных
фирм-производителей поступают на наш
рынок с экспортными ограничениями,
касающимися реализованных в них
криптографических алгоритмов. Например,
в экспортных вариантах программного
обеспечения WWW-серверов и браузеров
таких производителей, как Microsoft и Netscape
Communications, имеются ограничения на длину
ключа для одноключевых и двухключевых
алгоритмов шифрования, используемых
протоколом SSL, что не обеспечивает
полноценной защиты при работе в Интернет.
Однако
приложения электронной коммерции, кроме
внутренних угроз, подвержены также и
внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать
каждому анонимному посетителю отдельный
идентификатор входа (так как приложение
при этом не увеличивается), компаниям
необходимо использовать другой вид
аутентификации. Кроме того, необходимо
подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную
осторожность по отношению к критическим
данным – например, таким, как номера
кредитных карт.
На
бизнес-сайте обрабатывается чувствительная
информация (например, номера кредитных
карточек потребителей). Передача такой
информации по Интернет без какой-либо
защиты может привести к непоправимым
последствиям. Любой может подслушать
передачу и получить таким образом доступ
к конфиденциальной информации. Поэтому
данные необходимо шифровать и передавать
по защищенному каналу. Для реализации
защищенной передачи данных используют
протокол Secure Sockets Layer (SSL).
Для
реализации этой функциональности
необходимо приобрести цифровой сертификат
и установить его на ваш(и) сервер(а). За
цифровым сертификатом можно обратиться
в один из органов сертификации. К
общеизвестным коммерческим сертификационным
организациям относятся: VerySign, CyberTrust,
GTE.
Когда
пользователь отправляет номер кредитной
карточки с применением протокола SSL,
данные немедленно шифруются, так что
хакер не может видеть их содержание. SSL не зависит от сетевого протокола.
Программное
обеспечение сервера Netscape обеспечивает
также аутентификацию – сертификаты и
цифровую подпись, удостоверяя личность
пользователя и целостность сообщений
и гарантируя, что сообщение не меняло
своего маршрута.
Аутентификация
подразумевает подтверждение личности
пользователя и цифровой подписи для
проверки подлинности документов,
участвующих в обмене информацией и
финансовых операциях. Цифровая подпись
представляет собой данные, которые
могут быть приложены к документу во
избежание подлога.
Системы
выявления вторжений (Intrusion Detection Systems,
IDS) могут идентифицировать схемы или
следы атак, генерировать аварийные
сигналы для предупреждения операторов
и побуждать маршрутизаторы прерывать
соединение с источниками незаконного
вторжения. Эти системы могут также
предотвращать попытки вызвать отказ
от обслуживания.
Для
защиты данных сайта необходимо
проанализировать данные, используемые
сайтом, и определить политику безопасности. Эти данные могут представлять собой
HTML-код, подробности о клиентах и продуктах,
хранящиеся в базе данных, каталоги,
пароли и другую аутентификационную
информацию. Вот несколько основных
принципов, которые можно использовать
при определении политики безопасности
данных:
- Необходимо
держать чувствительные данные за
внутренним брандмауэром, в защищенной
внутренней сети. К чувствительным
данным должно быть обеспечено минимальное
число точек доступа. При этом необходимо
помнить, что добавление уровней
безопасности и усложнение доступа в
систему влияет на работу системы в
целом. - Базы
данных, хранящие низко чувствительные
данные, могут располагаться на серверах
DMZ. - Пароли
могут храниться после преобразования
с помощью односторонних алгоритмов.
Однако это делает невозможным реализацию
общепринятой (и популярной) возможности
обрабатывать сообщения типа «Я забыл
мой пароль, пожалуйста, вышлите мне его
по электронной почте», хотя при этом
можно создать новый пароль и высылать
его в качестве альтернативы. - Чувствительная
информация – такая, как номера кредитных
карт – может храниться в базах данных
и после шифрования. Расшифровывать ее
каждый раз при возникновении такой
необходимости могут только авторизованные
пользователи и приложения. Однако это
также влияет на скорость работы системы
в целом.
Можно
защитить данные сайта и с помощью
компонент среднего яруса. Эти компоненты
могут быть запрограммированы для
аутентификации пользователей, разрешая
доступ к базе данных и ее компонентам
только авторизованным пользователям
и защищая их от внешних угроз.
Можно
реализовать дополнительные функции
безопасности серверной части системы. Например, для предотвращения
несанкционированного внутреннего
доступа к базе данных можно использовать
пользовательские функции безопасности
SQL Server.
Заметьте,
что не менее важно защищать и резервные
копии, содержащие информацию о
потребителях.
Ситуация
усугубляется еще и тем, что каждую неделю
обнаруживаются все новые и новые способы
проникновения или повреждения данных,
следить за появлением которых в состоянии
только профессиональные организации,
специализирующиеся на информационной
безопасности.
Интеграция
коммерции в Интернет сулит кардинальное
изменение положения с обеспечением
безопасности. С ростом коммерциализации
Интернет вопросам защиты передаваемой
по сети информации уделяется все больше
внимания. Поэтому прогресс в области
безопасности информации во многом
определяет развитие процесса электронной
коммерции.
В
России развитие электронной коммерции
сдерживается:
- Отсутствием
или слабым развитием инфраструктуры
ЭК, в частности, надежной и повсеместной
инфраструктуры доставки товара
покупателю (курьерские службы и т.п.),
особенно через «электронный магазин»,
находящийся в другом городе. - Отставанием
государственной правоприменительной
практики и, как следствие, отсутствие
или слабые гарантии исполнения сделок,
заключенных в электронной форме. - Наличием
объективных и субъективных предпосылок
для развития мошенничества, связанных
с использованием Интернета для коммерции. - Слабой
маркетинговой проработкой проектов
ЭК. - Трудностями
в отплате товаров, в частности, отсутствие
доверия населения к коммерческим
банкам.
Низкий
уровень доходов большинства населения
России делает деньги более весомым
богатством, чем время, поэтому многие
Россияне не согласны оплачивать наряду
со стоимостью товара расходы на его
доставку, и предпочитают делать покупки
в обычных магазинах. Поэтому ЭК может
широко распространиться в России только
после существенного улучшения
экономической обстановки в стране.
Защитные механизмы
Хорошим решением будет превентивное использование AntiDDoS, IDS, IPS и WAF механизмов для защиты от использования уязвимостей сетевой архитектуры, сервисов и приложений.
Эти системы способны выявить и предотвратить большинство детектируемых (сигнатурных) атак, но панацеей не являются. Необходим комплекс мер и аналитическая работа по анализу аномалий/детекту вредоносной активности.
Немаловажным фактом является грамотная и кастомизированная настройка этих систем.
В настоящее время используется множество разнообразных систем электронного бизнеса. Это вызывает проблемы при выборе системы ЭК для решения конкретной задачи, стоящей перед пользователем. Предлагается использовать метод анализа иерархий для оценки параметров, по которым сравниваются системы ЭК.
Эффективность систем ЭК обозначает меру соответствия используемых в ней технологий, приемов и правил коммерческим потребностям ее субъектов.
Сейчас многие методики оценки эффективности Interntet-проектов, к которым относятся и системы ЭК, базируются на таких показателях работы, как частота посещаемости сайта и время, которое проводит посетитель на сайте. Например, для электронного магазина важным фактором оценки эффективности его функционирования является количество посетителей.
Существуют такие направления оценки эффективности систем ЭК:
Эти три направления взаимосвязаны.
Экономическая эффективность может быть определена как отношение прибыли P, полученной вследствие применения системы, к затратам Z, связанным с ее разработкой и эксплуатацией:. Затраты при этом определяются как сумма капитальных вложений в проектирование, приобретение компонент и реализацию системы и эксплуатационных затрат. Но получить эти оценки можно только после внедрения системы. Пользователю же необходимо иметь средства выбора системы для реализации конкретной задачи, стоящей перед ним.
Чтобы сравнивать системы ЭК, можно использовать методы, применяемые для анализа открытых систем, которые предоставляют средства выявления приоритетов лица, принимающего решение (ЛПР), и измерения интенсивности взаимодействия компонент, описывающих структуру системы иерархии.
Как обезопасить процесс онлайн-покупок
С повсеместным распространением банковских карт стандарта EMV риски оффлайн-мошенничества заметно сократились, но как при этом складывается ситуация с онлайн-мошенничеством? Какие меры могут предпринять магазины, банки и потребители, чтобы бороться с ним более эффективно?
Для американских ритейлеров «Чёрная пятница» уже давно стала одним из наиболее оживлённых дней торговли в году. Приходящаяся на первую пятницу после Дня благодарения, она символизирует начало рождественского сезона распродаж, когда ритейлеры вступают в беспощадную конкуренцию, предлагая покупателям огромные скидки и многочисленные промо-предложения. По данным Национальной федерации розничной торговли, во время Чёрной пятницы 2015 года покупки совершили около 150 миллионов американцев, при этом средний чек составил 300 долларов США.
За последние несколько лет «Чёрная пятница» заметно преобразилась, отражая изменения в покупательских привычках и предпочтениях. Почти так же, как и в течение всего остального года, покупатели в этот день всё чаще предпочитают совершать покупки не в традиционных магазинах, а через Интернет. Согласно данным Adobe Digital Research, в этот раз доля онлайн покупок в общем числе покупок увеличилась по сравнению с «Чёрной пятницей» предыдущего года на 14%, при этом было зафиксировано снижение количества покупок в офлайн магазинах.
Кроме того, «Чёрная пятница» стала приобретать глобальный характер, что также обусловлено развитием и повсеместным проникновением онлайн-торговли. От Лондона до Сиднея, от Южной Африки до Сибири, — всё чаще можно встретить магазины, предлагающие специальные акции, приуроченные к «Чёрной пятнице».
К сожалению, это тренд популярен не только у покупателей: мошенники тоже активно осваивают интернет-пространство, что связано как с большими оборотами онлайн-торговли, так и с высокой эффективностью механизмов для противодействия мошенничеству при офлайн-транзакциях.
В историю цифровых технологий 2015 год войдёт как год, когда для противодействия физическому клонированию банковских карт в США наконец-то был принят стандарт EMV, предусматривающий одновременное использование чипа и PIN-кода. Этот стандарт получил широкое распространение во всём мире и является эффективным решением для противодействия мошенническим действиям с банковскими картами в присутствии держателя карты. Так, по данным ассоциации UK Card Association, благодаря внедрению EMV сумма ущерба от мошеннических операций сократилась с 505 млн фунтов стерлингов в 2004 году до 340 млн фунтов стерлингов в 2011 году.
Однако сегодня, когда в результате внедрения EMV количество мошеннических транзакций в присутствии держателей банковской карточки резко сократилось, злоумышленники начали активно осваивать интернет-пространство, в результате чего число мошеннических операций в отсутствие держателей банковских карт (“card-not-present”, CNP) увеличилось. Сумма ущерба от мошеннических действий с банковскими картами в Великобритании сегодня снова выросла и составляет 479 млн. фунтов стерлингов, при этом половина этой суммы приходится на CNP транзакции.