Проблемы безопасности для электронной коммерции
88 — Internet Worm (червь) — первая крупная вирусная атака. Создатель вируса — Robert Morris, 23 года, выпускник Корнельского университета. Вирус поразил 6200 компьютеров (10% Internet), поглощая их ресурсы и заставляя тормозить, а иногда и падать. Примерная оценка убытков от вируса — от 24 до 100 млн долл. Вирус распространялся по e-mail.
Защита от несанкционированного доступа, использования , изменения и разрушения информации. физическая безопасность логическая безопасностьКонтрмера — процедура, физическая или логическая, которая распознает, уменьшает или уничтожает угрозу.
Классификация угроз и контрмер
Отслеживать и управлять
Страхование или план восстановления
Secrecy — секретность — защита против неавторизованного доступа, идентификация источникаIntegrity — целостность — защита против неавторизованного изменения информации Necessity — необходимость — защита против задержки при доставке данных или удаления их
Отдельные проблемы безопасности
Интеллектуальная собственность. Причины нарушения: легкость доступа к информации -чтение и копирование; незнание законов, невежество. Cybersquatting — практика регистрации доменного имени, которое является торговой маркой какой-либо организации, с целью продажи этого имени за большую сумму.
Политика безопасностиЛюбая организация должна иметь инструкцию, или свод правил безопасности, в которых четко определяется:что защищать, почему, кто ответственный, кто к чему имеет доступ, и т. Главные аспекты политики безопасности: физическая безопасность, сетевая безопасность, авторизация доступа, защита от вирусов, восстановление информации в случае сбоев.
Рассмотрим «electronic commerce chain» — путь информации от клиента до сервера. Безопасность этого пути = безопасности самого слабого звена в нем. Классификация угроз: угрозы на стороне клиента угрозы при передаче информации через Интернет угрозы на стороне сервера
Клиентские угрозыActive content (активное содержимое), может содержать скрытые опасные команды:Java — объектно-ориентированный язык, разработанный Sun Microsystem (раннее название — OAK), его приверженцы верят, что это язык будущего, и java-программы будут встраиваться в микрочипы на бытовой технике (и тостер в 7. 30 утра будет будить кофеварку). Плюсы: платформонезависимость «разрабатываем однажды, применяем везде»Java-applets. Специальная модель безопасности — «Java sandbox», применяется для всех untrusted applets (запрещаются ввод-вывод, удаление файлов). Trusted и Signed applets
Клиентские угрозыJavaScript -производный от Java язык, разработанный Netscape, может также содержать опасные инструкции, разрушительные для компьютера и нарушающие секретность. ActiveX (только в Windows) — написанные на ООЯ программы (C++, VB), заключенные в соответствующую оболочку (dll, exe). Графика и plug-insE-mail attachments. Cookies
Угрозы при передаче информацииИнтернет по своей сути не является безопасной сетью. Любое сообщение проходит через цепочку маршрутизаторов, и эта цепочка не всегда одна и та же. Угрозы секретности:Sniffer-программы — ”подслушивающие» программы, способные копировать информацию, проходящую через маршрутизаторы от источника к месту назначения. Другая опасность возникает если, например, мы набрали конфиденциальную информацию, отослали ее, затем переместились на другой сайт. Если этот сайт собирает информацию о предыдущих страницах, то он сможет прочитать наши конфиденциальные данные.
Угрозы при передаче информацииAnonomizer. com — портал анонимности, работает как firewall. Ставит свой адрес перед любым URL, исключая тем самым вышеуказанную угрозу. Угрозы целостности:Cyber vandalism — злонамеренное уничтожение существующих Web-страниц и целых сайтов. Masquerading или spoofing (маскировка) — претензия быть чем-то или кем-то, кем вы на самом деле не являетесь (например, отправление почтового сообщения от чужого имени или подмена настоящего Web-сайта ложным). Угрозы необходимости Задержка или отказ в доставке данных (1 Интернет-час = 10 секундам реального времени)
Электронная коммерция
Электронная коммерция (информационные системы в торговле)
Электронная коммерция в Интернете — это коммерческая деятельность в сфере рекламы и распространения товаров и услуг посредством использования сети Интернет. В настоящее время электронная коммерция быстро развивается и, по статистике, уже более 200 миллионов человек во всем мире регулярно совершают покупки в Интернет-магазинах.
Электронная коммерция (от англ. e-commerce) — это сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес-процессы, связанные с проведением таких транзакций. Электронная коммерция (от англ. e-commerce) — это сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес-процессы, связанные с проведением таких транзакций. К электронной коммерции относят: электронный обмен информацией электронное движение капитала электронную торговлю электронные деньги электронный маркетинг электронный банкинг электронные страховые услуги
Хостинг – это услуга по размещению информации во Всемирной паутине. Хостинг включает в себя предоставление дискового пространства для размещения Web-сайтов на Web-серверах, предоставления к ним доступа по каналу связи с определенной пропускной способностью, а также прав администрирования сайта.
Виды интернет коммерции B2B (бизнес для бизнеса) – продажа товаров или оказание услуг осуществляется коммерческим компаниям. B2C (бизнес для клиента) – продажа товаров или оказание услуг осуществляется конечному потребителю.
Интернет-магазин – это веб-сайт, рекламирующий товар или услугу, принимающий заказы на покупку, предлагающий выбор варианта расчёта, способа получения заказа и выписывающий счёт на оплату.
№ слайда 13
Виды интернет-магазинов Розничные интернет-магазины, которые осуществляют торговлю в небольших объемах, часто по одной единице. Оптовые интернет-магазины, которые продают товары большими партиями. Клиенты в таких магазинах зачатую являются постоянными и совершают систематические покупки. Продажа по системе дропшипинга, когда интернет-магазин не выкупает товар, а продаёт его напрямую со склада поставщика.
№ слайда 14
№ слайда 15
Преимущества электронной коммерции:
№ слайда 16
Для организаций Глобальный масштаб Сокращение издержек Улучшение цепочек поставок Бизнес всегда открыт (24/7/365) Персонализация Быстрый вывод товара на рынок Низкая стоимость распространения цифровых продуктов
№ слайда 17
№ слайда 18
Для потребителей Повсеместность Анонимность Большой выбор товаров и услуг Персонализация Более дешевые продукты и услуги Оперативная доставка Электронная социализация
№ слайда 19
№ слайда 20
Для общества Широкий перечень предоставляемых услуг (например, образование, здравоохранение, коммунальное обслуживание) Повышение уровня жизни Повышение национальной безопасности Уменьшение «цифрового» разрыва Онлайн продажа/заказ товаров/услуг уменьшает автомобильный трафик и снижает загрязнение окружающей среды
№ слайда 21
№ слайда 22
Цифровые деньги – это специальное платёжное средство в электронном виде, которое находится на электронном носителе в распоряжении пользователя.
№ слайда 23
№ слайда 24
№ слайда 25
№ слайда 26
№ слайда 27
Безопасность платежей в интернете
Безопасность платежей Грачева Мария Генеральный директор Яндекс. Денег
Цели урока Научиться распознавать типовое платежное мошенничество Знать, как защититься от мошенничества Уметь рассказывать об этом родным и друзьям
Ущерб от карточного мошенничества 4,6 млрд. рублей в России в 2013 году Россия — 4-я в Европе страна по количеству ущерба от мошенничества
Кто виноват? Человеческий фактор: Наивность Невнимательность Неосведомленность Беспечность
Примеры платежного мошенничества
Фальшивые смски «Мама, я попал в авариюбольницуполицию, срочно нужны деньги. Кинь их на этот номерпереводи на такой-то кошелек» Выход: Перезвонить тому, у кого проблемы, чтобы проверить информацию
«Официальные» письма платежных сервисов «Ваш кошелек в Яндекс. Деньгах заблокирован. Для разблокировки перейдите по ссылке и введите пароль». «Вас беспокоит служба безопасности банка. Чтобы мы разрешили вам продолжать пользоваться картой, скажите проверочную информацию и пин-код».
«Официальные» письма платежных сервисов Выход: Знать, что банки и платежные сервисы никогда не запрашивают у вас пин-коды, пароли и другую информацию. Проверять адрес сайта, на который вы переходите и где вводите свой пароль.
Фальшивые выигрыши в лотереи
Фальшивые выигрыши в лотереи Признаки: Вы ничего не знаете о данной лотерее и никогда в ней не принимали участие; Вы никогда не оставляли своих личных данных на этом ресурсе или этой органиазации, от лица которой приходит письмо; Сообщение составлено безграмотно, с орфографическими ошибками; Почтовый адрес отправителя – общедоступный почтовый сервис. Например, gmail. com, mail. ru, yandex.
Пример “нигерийского” письма Дорогой друг! Я миссис Сесе-секо, вдова бывшего президента Заира (ныне Демократической республики Конго) Мобуту Сесе-секо. Я вынуждена написать Вам это письмо. Это в связи с моими нынешними обстоятельствами и ситуацией. Я спаслась вместе со своим мужем и двумя сыновьями Альфредом и Башером в Абиджан, Кот-д’Ивуар, где мы и поселились — затем мы переехали в Марокко, где мой муж умер от рака. У меня есть банковский счет на сумму 18 000 000 (восемнадцать миллионов) долларов США. Мне нужно ваше желание помочь нам — чтобы вы получили эти деньги для нас, в таком случае я представлю Вас моему сыну Альфреду, который имеет право получить эти деньги. Я хочу инвестировать эти деньги, но не хочу, чтобы было известно, что это делаю я. Мне хочется приобрести недвижимость и акции транснациональных компаний, а также вложиться в надежные и неспекулятивные дела, которые Вы посоветуете. Искренне Ваша, Миссис Мариам М. Сесе-секо
Сценарии Письмо о вакансии за рубежом, но перед выездом надо оплатить разрешение на проживание и работу Жертве сообщается о выигрыше в лотерею. Получатель письма должен заплатить, чтобы получить свой выигрыш. Жертве предлагается взять приличный кредит под бизнес, не требуя ни залога, ни стартового взноса. Все, что требуется — лишь оплатить издержки банка на оформление кредита
Фальшивые сайты авиабилетов Выход: Искать отзывы о неизвестном вам ранее сайте, прежде чем совершать покупку
Фальшивые интернет-магазины По продаже ноутбуков И даже мотоциклов Товаров из-за границы Выход: Искать отзывы о неизвестном вам ранее сайте, прежде чем совершать покупку
«Выгодные» покупки Новый iPhone за 3 тысячи рублей Распродажа товаров, якобы конфискованная на границе Выход: Поверить, что халявы не бывает даже в интернете Поискать отзывы о магазине, прежде чем совершать покупку
Фальшивые квитанции Неправильные ЖКХ-рекзвизиты Заказ книг или других «выгодных» товаров через предоплату по квитанции
Решение Проверяйте номер расчетного счета перед платежом Обратите внимание, когда пришла квитанция — не раньше ли положенного срока? Верно ли указан (и указан ли) ваш лицевой номер счета на квитанции Можно настроить онлайн-платежи на заранее проверенные реквизиты и платить только по ним (сервис Яндекса «Городские платежи», интернет-банк «Сбербанк. Онлайн», Альфа-Банк и др
Выпрашивание денег Со взломанных во ВКонтакте аккаунтов Со взломанных аккаунтов Skype Выход: Перезвонить другу и уточнить информацию Задать «контрольный» вопрос, на который может ответить только друг
Халява с подпиской Выход: Не вводить номер своего телефона во время скачивания файлов Пользоваться легальными сервисами для прослушивания музыки (например, Яндекс. Музыка), просмотра фильмов (например, Amediateka, ivi. ru), чтения книг (Литрес, iBooks)
Что нужно знать о своей банковской карточке?
Что нужно знать о платежах банковской карточкой? Обращайте внимание на адрес сайта, на котором совершаете платеж
Базовые правила гигиены для электронного кошелька Одноразовый пароль на каждую операцию Лицензионный антивирус на компьютере Оплата с защищенного устройства (не общий wi-fi, не общий компьютер)
Если карта или кошелек скомпрометированы Срочно звонить в службу поддержки, не теряя ни секунды, и просить заблокировать операции Перевыпускать карту восстанавливать доступ к кошельку, следуя рекомендациям службы поддержки
№ слайда 28
Как самостоятельно вырыть себе яму?
№ слайда 29
Сфотографировать свою карточку и выложить ее в интернете. Красивая же! Сфотографировать свою карточку и выложить ее в интернете. Красивая же!
№ слайда 30
Решение Не выкладывайте фото своей карты в интернет Если очень хочется, затирайте минимум 8 цифр Никогда никому не сообщайте CVC-код (три цифры с обратной стороны) стороны)
№ слайда 31
Рассекретить пароль Написать на бумажке и хранить на видном месте Дать пароль «на минуточку» — особенно через сообщение в соцсетях Сообщить его по телефону «сотруднику банка» или «платежного сервиса»
Решение Использовать одноразовые пароли: SMS-пароли, таблицы кодов Даже одноразовые пароли никому не сообщать Включить sms-уведомления об операциях
Спасибо за внимание!
Слайды и текст этой презентации
Обеспечение безопасности в сети Интернет
Шифрование. Алгоритмы шифрования.
Симметричное шифрование.
Ассиметричное шифрование.
Цифровой сертификат. Электронно-цифровая подпись.
Вопрос 1. Шифрование. Алгоритмы шифрования.
Информационная безопасность(по законодательству РФ) — состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Информационная безопасность имеет три основные составляющие:
конфиденциальность — защита чувствительной информации от несанкционированного доступа;целостность — защита точности и полноты информации и программного обеспечения;доступность — обеспечение доступности информации и основных услуг для пользователя в нужное для него время;
А так же:
Шифрование – такое преобразование элементов информации, после которого восстановление исходной информации становится исключительно трудным для всех, кроме лица, которому предназначается информация.
зашифрование — процесс преобразования открытых данных в зашифрованные данные при помощи шифра.
расшифрование — процесс преобразования зашифрованных данных в открытые данные при помощи шифра.
Криптография — ровесница истории человеческого языка.
Первоначально письменность, сама по себе, была криптографической системой, так как в древних обществах ею владели только избранные. Первые действительно достоверные сведения с описанием метода шифрования относятся к периоду смены старой и новой эры и описывают шифр Цезаря: в нем каждая буква сообщения заменялась на третью следующую за ней в алфавитном порядке букву
Бурное развитие криптографические системы получили в годы первой и второй мировых войн. Немецким инженером Артуром Шербиусом была изобретена и запатентована шифровальная электромеханическая машина «Энигма» вскоре после окончания первой мировой войны
Существует общее правило, сформулированное в позапрошлом веке голландским ученым Ф. Керкхоффом (1835-1903): Стойкость шифра должна быть обеспечена в том случае, когда известен весь алгоритм зашифровывания, за исключением секретного ключа
Основные понятия криптографии
Ключ — информация, необходимая для беспрепятственного шифрования и дешифрования сообщений. Алгоритм – последовательность действий по преобразованию исходного сообщения в зашифрованное или наоборот, использующая ключ(и) шифрования. Пространство ключей – набор возможных значений ключа.
Классы алгоритмов шифрования
Вопрос 2. Симметричное шифрование
Симметричными являются алгоритмы, в которых для зашифрования и расшифрования используется один и тот же секретный ключ.
Чтобы начать использовать систему, необходимо получить общий секретный ключ так, чтобы исключить к нему доступ злоумышленника.
Общая схема симметричных алгоритмов
Симметричные алгоритмы подразделяются на:
Поточные (сообщение шифруется побитно от начала и до конца)
Блочные (сообщение разбивается на блоки и шифруется поблочно)
Основные действия в симметричных алгоритмах
Алгоритм был разработан в 1977 году, в 1980 году был принят NIST (National Institute of Standards and Technolody США) в качестве стандарта (FIPS PUB 46).
Данные шифруются 64-битными блоками, используя 56-битный ключ. Алгоритм преобразует за несколько раундов 64-битный вход в 64-битный выход. Длина ключа равна 56 битам.
IDEA (International Data Encryption Algorithm) является блочным симметричным алгоритмом шифрования, разработанным Сюдзя Лай (Xuejia Lai) и Джеймсом Массей (James Massey) в 1990 году.
IDEA является блочным алгоритмом, который использует 128-битовый ключ для шифрования данных блоками по 64 бита.
Криптографическую стойкость IDEA характеризуют:Длина блока: в 64 бита в 90-е годы означало достаточную силу. Длина ключа: 128 бит IDEA считается достаточно безопасным. Конфузия: зашифрованный текст должен зависеть от ключа сложным и запутанным способом. Диффузия: каждый бит незашифрованного текста должен влиять на каждый бит зашифрованного текста
Алгоритм ГОСТ 28147 является отечественным стандартом для алгоритмов симметричного шифрования. ГОСТ 28147 разработан в 1989 году, является блочным алгоритмом шифрования, длина блока равна 64 битам, длина ключа равна 256 битам, количество раундов равно 32.
Другие симметричные алгоритмы
Triple DES. Это усовершенствованный вариант DES, применяющий для шифрования алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому, чем DES;
Skipjack. Алгоритм создан и используется Агентством национальной безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации производится циклически (32 цикла);
RC4. Он использует ключ переменной длины (в зависимости от необходимой степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам.
Основные преимущества симметричных алгоритмов
высокая скорость зашифрования расшифрования;возможность работы на больших объёмах и потоках информации;менее требовательны к вычислительным ресурсам системы.
Основные недостатки симметричных алгоритмов
сложность распространения ключа между участниками;сложность сохранения ключа в тайне при большом количестве участников;меньшая стойкость в взлому;сложность реализации самих алгоритмов ввиду многоэтапности;отправитель, и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя.
Ключ 56 бит – это 2 комбинаций ключей. При скорости перебора – 1млн. ключей в секунду потребуется 2000 лет.
Ключ 64 бита – 600. 000 лет
Ключ 2048 бит – 10 лет. (вселенная существует только 10 лет)
Вопрос 3. Ассиметричное шифрование
В ассиметричных алгоритмах используются два ключа — открытый и закрытый (секретный), которые математически связаны друг с другом.
Открытый ключ – число, которое свободно может передаваться по открытым каналам и не является секретомЗакрытый ключ – число, никогда не передающееся по каналам связи, хранящееся только у владельца и являющееся его секретом. Генерация пары ключей должна происходить обязательно одновременно
Исходное состояние:Участник А:открытый ключ Оа;закрытый ключ За;открытый ключ Об;сообщение С.
Участник Б:открытый ключ Об;закрытый ключ Зб;открытый ключ Оа.
Схема 1 – отправка сообщения только участнику Б
Схема 2 – подтверждение, что сообщение отправил участник А
Концепция шифрования по общему ключу изобретена Уитфилдом Диффи и Мартином Хеллманом в 1977г. Чуть позже другая группа ученых — Рон Ривест и Ади Шамир, в области компьютерных наук, стали использовать разложение произведений простых чисел на множители как часть того, что теперь известно под названием криптосистема RSA
Основные преимущества асимметричных алгоритмов
отсутствие необходимости в секретном канале для передачи ключей;секретный ключ никогда не передаётся;может использоваться для организации секретного канала по передаче ключа для симметричного алгоритма;большая сложность во взломе сообщения.
Основные недостатки асимметричных алгоритмов
большая вычислительная сложность для зашифрованиярасшифрования;возможность использования только для небольших объёмов информации;сильная зависимость времени работы алгоритма от длины ключа.
Вопрос 4. Цифровой сертификат. Электронно-цифровая подпись
Цифровой сертификат – электронный документ, выданный и заверенный удостоверяющим центром.
Цифровой сертификат можно рассматривать как электронное удостоверение пользователя по аналогии с традиционным удостоверением (паспортом), которое позволяет удостовериться в том, что при обмене электронными документами Вы имеете дело с определённым лицом.
По своей сути цифровой сертификат — это небольшой файл, содержащий в себе следующую информацию:
имя и идентификатор владельца сертификата; открытый ключ; имя, идентификатор и цифровую подпись удостоверяющего центра; серийный номер, версию и срок действия сертификата.
Этапы получения цифрового сертификата
Генерация пары взаимосвязанных ключей (открытый и закрытый)Создание запроса на генерацию сертификата (Certificate Request)имя и идентификатор владельца сертификата;открытый ключ;цели использования;доп. Информация;Передача запроса и открытого ключа удостоверяющему центруГенерация сертификата с занесением в реестр сертификатов УЦПередача сертификата владельцу
Таким образом цель создания цифрового сертификата – сопоставить открытый ключ (обычное число) и понятное человеку «имя владельца», при котором достоверность такого сопоставления подтверждается третьей стороной.
Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Хэш-функция — это процедура обработки сообщения, в результате действия которой формируется строка символов (дайджест сообщения) фиксированного размера.
Малейшие изменения в тексте сообщения приводят к изменению дайджеста при обработке сообщения хэш-функцией. Таким образом, любые искажения, внесенные в текст сообщения, отразятся в дайджесте.
Схема формирования ЭЦП
Для проверки ЭЦП необходимо
Исходное сообщение С;
Открытый ключ отправителя Оа;
Дайджест сообщения Дс;
Значение ЭЦП – ШДс.
В случае отрицательного результата возможны следующие причины:
в электронный документ были внесены несанкционированные изменения;
подпись для электронного документа была подделана;
автором документа является другое лицо.
Вопрос 5. Протокол SSL
Протокол SSL (Secure Socket Layer) используется для защиты данных, передаваемых через Интернет. Он основан на комбинации алгоритмов асимметричного и симметричного шифрования.
Протокол SSL может работать в трех режимах:
при взаимной аутентификации сторон; при аутентификации сервера и анонимности клиента; при взаимной анонимности сторон.
Упрощённая схема работы протокола SSL
Возможные ошибки при установлении соединения
Не поддерживается алгоритм шифрования;
Не представлен сертификат;
Представлен неверный сертификат;
Неподдерживаемый тип сертификата.
Основные преимущества использования протокола SSL
Функционирует на транспортном уровне и может быть использован вместе с любыми прикладными протоколами;Универсальность в использовании – является стандартом де-факто и поддерживается большинством клиентского и серверного ПО;Имеет возможность работать в 3х режимах;Совмещает стойкость асимметричного шифрования и скорость симметричного.
Основные недостатки использования протокола SSL
Требует дополнительного обмена информацией и затрат времени на установление каждого соединения;
Требует получения серверного сертификата;
Осуществляется лишь защита соединения;
Большинство ПО позволяет работать лишь с 40-битным ключом DES и 512-битным – RSA.
Презентация на тему Актуальные проблемы безопасности в электронной коммерции
Презентация на тему Презентация на тему Актуальные проблемы безопасности в электронной коммерции, предмет презентации: Разное. Этот материал содержит 11 слайдов. Красочные слайды и илюстрации помогут Вам заинтересовать свою аудиторию. Для просмотра воспользуйтесь проигрывателем, если материал оказался полезным для Вас — поделитесь им с друзьями с помощью социальных кнопок и добавьте наш сайт презентаций ThePresentation. ru в закладки!
Исаходжаева М Я ТУИТ, г. Ташкент, Узбекистан
Октябрь 16, 2007
Октябрь, 2007 Ташкент
Основные проблемы сдерживающие развитие электронной коммерции
Решение проблемы по использованию различных стандартов и форматов цифровой подписи
Необходимые условия для совершения платежей в электронной коммерции
Требования по безопасности электронных платежей
Исключения списания средств с аккаунта плательщика
Обеспечение легитимного подтверждения совершения платежа
Обеспечение легитимного подтверждения факта получения и его назначения
Обеспечение легитимного подтверждения факта проведения всех авторизованных транзакций
Обеспечений гарантий по передаче суммы с аккаунта по назначению
Система в целом должна быть устойчива к мошенническим действиям, в том числе в случае форс-мажорных обстоятельствах
Требования по конфиденциальности электронных платежей
Обеспечение необходимой степени анонимности плательщика для получателя платежа
Исключение возможности получения эмитентом информации о назначении платежа
Исключение возможности получения эмитентом информации о поступлениях на аккаунт получателя при списании с аккаунта плательщика
Основные принципы обеспечения информационной безопасности
Презентация по теме «Информационная безопасность»
Информационная безопасность защищенность
информации и поддерживающей инфраструктуры
от случайных или преднамеренных воздействий
естественного или искусственного характера,
чреватых нанесением ущерба владельцам и
пользователям информации. Защита информации – это комплекс мероприятий,
направленных на обеспечение информационной
безопасности.
Метод (способ) защиты данных совокупность приемов и
операций, реализующих функции защиты данных. Примерами их могут служить, например, методы
шифрования и паролирования. На основе методов защиты создаются средства защиты
(например, устройства шифрации/дешифрации, программы
анализа пароля, датчики охранной сигнализации и т. Механизм защиты совокупность средств защиты,
функционирующих совместно для выполнения
определенной задачи по защите данных
(криптографические протоколы, механизмы защиты
операционных систем и т. Система обеспечения безопасности данных (СОБД)
совокупность средств и механизмов защиты данных.
Цель мероприятий в области информационной
безопасности – защитить интересы субъектов
информационных отношений. Интересы эти многообразны, но все они
концентрируются вокруг трех основных аспектов:
Доступность – это возможность за приемлемое время
получить требуемую информационную услугу. Целостность актуальность и непротиворечивость
информации, ее защищенность от разрушения и
несанкционированного изменения. Конфиденциальность – это защита от
несанкционированного доступа к информации
Информационные угрозы
Угроза безопасности– это потенциально
существующая возможность случайного или
преднамеренного действия или бездействия, в
результате которого может быть нарушена
безопасность данных. Попытка реализации угрозы называется атакой, а
тот, кто предпринимает такую попытку, –
злоумышленником
Потенциальные злоумышленники называются
источниками угрозы. Информационные угрозы
Информационные угрозы
Несанкционированный доступ к данным (НСД)
злоумышленное или случайное действие,
нарушающее технологическую схему обработки
данных и ведущее к получению, модификации или
уничтожению данных. НСД может быть пассивным (чтение, копирование)
и активным (модификация, уничтожение). Информационные угрозы
Обеспечение
Защита персонала
К
связи
Ц
А
о
п
б
п
е
с
п
р
ИНФОРМАЦИ
Я
е
а
а
Программное
обеспечение
Физическая
защита
т
ч
о
н
е
е
и
е
н
Д
Организационный уровень защиты
Обеспечение безопасности
информации складывается из
трех составляющих:
Конфиденциальности,
Целостности,
Доступности. Точками приложения процесса
защиты информации
к информационной
системе являются:
аппаратное обеспечение,
программное обеспечение
обеспечение
связи (коммуникации). Сами процедуры(механизмы)
защиты разделяются на
защиту физического
уровня,
защиту персонала
организационный уровень. Организационный уровень защитыЗащита персоналаФизическая защита ИНФОРМАЦИЯОбеспечение связиАппаратное обеспечениеПрограммное обеспечениеЦКД
Законодательный уровень
Законодательные и иные правовые акты РФ в сфере информационной
безопасности и защиты государственной тайны
Уголовный кодекс Российской Федерации (УК РФ) №63ФЗ
(принят 13 июня 1996 г. )
Федеральный закон N149 «Об информации, информационных
технологиях и защите информации», принятый в 2006 г. Федеральный закон «О правовой охране программ для ЭВМ и баз
данных», принятый в 1996 г. , его основные положения воспроизведены в
2006 г. в Гражданском кодексе РФ. • Федеральный закон N 152 «О персональных данных» , 2006 г. (ред. от
21. 2014)
• Федеральный закон N 63ФЗ «Об электронной подписи» от 06. 2011
(ред. от 28. 2014)
Законодательные и иные правовые акты РФ в сфере информационной безопасности и защиты государственной тайны
Угрозы при использовании нелицензионного ПО
Пользуясь нелицензионным программным обеспечением,
вы подвергаете опасности данные на вашем компьютере. «Взламывая» защиту
программы, хакер
может по незнанию
повредить ее код. В результате вам в лучшем случае потребуется заново
посредством которых
переустанавливать операционную систему и все прикладное ПО,
нелицензионного ПО
распространяются
является нарушением
Распространение
и использование
а в худшем это может привести к невосстановимой потере
«взломанные»
результатов вашей работы за длительный период времени
программы
Закона об охране
либо к тому, что ваша конфиденциальная информация
либо средства
авторских прав,
(а может быть, и деньги) окажется в руках злоумышленников. для их «взлома»,
за что виновный
Подобный ущерб может оказаться существенно большим,
несет гражданскую,
бывают заражены
различными
административную
чем стоимость лицензионной версии программы. используют
«взломанные»
Работа «взломанной»
программы становится
нестабильной. Кроме того, хакеры
Сайты и диски,
или уголовную
ответственность
вредоносными
программами
программы в качестве
«приманки»,
встраивая в них
«троянские
программы»
Законодательный уровень
Федеральный закон №149ФЗ «Об информации, информационных
технологиях и о защите информации»
Статья 1 гласит, что данный закон «регулирует отношения,
возникающие при:
1) осуществлении права на поиск, получение, передачу, производство
и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации». Статья 3 формулирует понятия «безопасность» и «защита информации»
в рамках принципов правового регулирования отношений в сфере
информации, информационных технологий и защиты информации. В качестве одного из основных принципов постулируется «обеспечение
безопасности Российской Федерации при создании информационных
систем, их эксплуатации и защите содержащейся в них информации».
Законодательный уровень
Федеральный закон № 149 ФЗ «Об информации, информационных
технологиях и о защите информации»
Статья 10 «Распространение информации или предоставление
информации» затрагивает проблему спамрассылок. Статья 16 рассматривает основные понятия и положения, касающиеся
защиты информации. Cтатья 17 определяет ответственность за правонарушения в сфере
информации, информационных технологий и защиты информации. Любые деяния, приводящие к повреждению или уничтожению
информации, к ее намеренному искажению, а также стремление
получить неправомерный доступ к чужой конфиденциальной
информации (то, чем занимаются авторы вирусов, троянов
и других вредоносных программ) являются преступлением
Законодательный уровень
Федеральный закон № 152ФЗ «О персональных данных»
определяет основные понятия и положения о защите персональной,
т. личной информации каждого человека. Статья 3 гласит, что персональные данные – это «любая информация,
относящаяся к определенному или определяемому на основании такой
информации физическому лицу (субъекту персональных данных),
в том числе его фамилия, имя, отчество, год, месяц, дата и место
рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы, другая информация».
Законодательный уровень
Уголовный кодекс Российской Федерации (УК РФ) №63ФЗ
(принят 13 июня 1996 г. )
определяет меры наказания за преступления, связанные с компьютерной
информацией. Глава 28
Статья 272. Неправомерный доступ к компьютерной информации. Статья 273. Создание, использование и распространение вредоносных
программ для ЭВМ. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ
или их сети.
Законодательный уровень
Уголовный кодекс Российской Федерации (УК РФ) №63ФЗ
(принят 13 июня 1996 г. )
Глава 28. Статья 272
1. Неправомерный доступ к охраняемой законом компьютерной
2. То же деяние, совершенное группой лиц по предварительному
информации, то есть информации на машинном носителе,
сговору или организованной группой либо лицом
в электронновычислительной машине (ЭВМ), системе ЭВМ
с использованием своего служебного положения, а равно
или их сети, если это деяние повлекло уничтожение,
имеющим доступ к ЭВМ, системе ЭВМ или их сети, —
блокирование, модификацию либо копирование информации,
наказывается штрафом в размере от ста тысяч до трехсот
нарушение работы ЭВМ, системы ЭВМ или их сети, —
тысяч рублей или в размере заработной платы или иного
наказывается штрафом в размере до двухсот тысяч рублей
дохода осужденного за период от одного года до двух лет,
или в размере заработной платы или иного дохода
либо исправительными работами на срок от одного года
осужденного за период до восемнадцати месяцев, либо
до двух лет, либо арестом на срок от трех до шести месяцев,
исправительными работами на срок от шести месяцев
либо лишением свободы на срок до пяти лет. до одного года, либо лишением свободы на срок до двух лет.
Законодательный уровень
Уголовный кодекс Российской Федерации (УК РФ) №63ФЗ
(принят 13 июня 1996 г. )
Глава 28. Статья 274
2. То же деяние, повлекшее по неосторожности тяжкие
последствия, — наказывается лишением свободы на срок
до четырех лет. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети,
повлекшее уничтожение, блокирование или модификацию
охраняемой законом информации ЭВМ, если это деяние
причинило существенный вред, — наказывается лишением
права занимать определенные должности или заниматься
определенной деятельностью на срок до пяти лет, либо
обязательными работами на срок от ста восьмидесяти
до двухсот сорока часов, либо ограничением свободы
на срок до двух лет.
Административный уровень
Главная задача мер административного уровня –
сформировать программу работ в области
информационной безопасности и обеспечить ее
выполнение, выделяя необходимые ресурсы и
контролируя состояние дел. Основой мер административного уровня, то есть мер,
предпринимаемых руководством организации,
является политика безопасности. Политика безопасности это комплекс мер и активных
действий по управлению и совершенствованию систем и
технологий безопасности, включая информационную
безопасность.
Административный уровень
Разработка политики и программы
безопасности начинается с анализа рисков,
первым этапом которого является
ознакомление с наиболее распространенными
угрозами
Главные угрозы – внутренняя сложность ИС,
непреднамеренные ошибки штатных
пользователей, операторов, системных
администраторов и других лиц,
обслуживающих информационные системы,
кражи и подлоги, пожары и другие аварии
поддерживающей инфраструктуры.
Процедурный уровень
К процедурному уровню относятся меры
безопасности, реализуемые людьми. Группы процедурных мер:
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.
Текущие работы
Необходимо регулярно осуществлять:
поддержку пользователей;
поддержку программного обеспечения;
конфигурационное управление;
резервное копирование;
управление носителями;
документирование;
регламентные работы.
Программнотехнический уровень
Программнотехнические меры, то есть меры,
направленные на контроль компьютерных
сущностей – оборудования, программ и/или
данных, образуют последний и самый важный
рубеж информационной безопасности. Основные механизмы безопсаности:
•идентификация и проверка подлинности
пользователей,
•управление доступом,
•протоколирование и аудит,
•криптография,
•экранирование,
•обеспечение высокой доступности.
Меры безопасности
превентивные, препятствующие нарушениям
ИБ;
меры обнаружения нарушений;
локализующие, сужающие зону воздействия
нарушений;
меры по выявлению нарушителя;
меры восстановления режима безопасности.
Организационная защита
организация режима и охраны. организация работы с сотрудниками (подбор и расстановка персонала,
их изучение, обучение правилам работы с конфиденциальной информацией,
ознакомление с мерами ответственности за нарушение правил защиты
информации и др. )
организация работы с документами и документированной информацией
(разработка, использование, учет, исполнение, возврат, хранение и
уничтожение документов и носителей конфиденциальной информации)
организация использования технических средств сбора, обработки,
накопления и хранения конфиденциальной информации;
организация работы по анализу внутренних и внешних угроз
конфиденциальной информации и выработке мер по обеспечению ее
защиты;
организация работы по проведению систематического контроля за
работой персонала с конфиденциальной информацией, порядком учета,
хранения и уничтожения документов и технических носителей.
Электронная коммерция в Интернете — это коммерческая деятельность в сфере рекламы и распространения товаров и услуг посредством использования сети
Интернет-аукцион (онлайн-аукцион) — аукцион, проводящийся посредством интернета. В отличие от обычных аукционов, интернет-аукционы проводятся на расстоянии (дистанционно) и в них можно участвовать, не находясь в определённом месте проведения, делая ставки через сайт или компьютерную программу аукциона. Основной структурной единицей на интернет-аукционе является лот. Лот — публикация информации о продаже определенного товара (либо группы товаров) размещенная на интернет-аукционе.
Интернет-магазины Интернет-магазин (англ
Интернет-магазин (англ. Online shop или e-shop) — сайт, торгующий товарами посредством сети Интернет. Позволяет пользователям онлайн, в своём браузере или через мобильное приложение, сформировать заказ на покупку, выбрать способ оплаты и доставки заказа, оплатить заказ.
Эмитент Эмитент (англ. issuer ) — организация, физическое лицо, выпустившая (ее) (эмитировавшая) ценные бумаги для развития и финансирования своей деятельности
Эмитент (англ. issuer) — организация, физическое лицо, выпустившая (ее) (эмитировавшая) ценные бумаги для развития и финансирования своей деятельности.
Эмиссия включает в себя две функции — право выпуска ценных бумаг и обязательства по предоставлению прав, закреплённых выпущенными ценными бумагами. В ряде случаев эмитент делегирует право выпуска ценных бумаг третьим лицам, но обязательства по ценным бумагам оставляет за собой, в этом случае де-факто третье лицо получает выпущенные ценные бумаги в качестве вознаграждения. Подобные схемы встречаются при эмиссии евроцентов и биткойнов.
Электронные деньги — это неоднозначный и эволюционирующий термин, употребляющийся во многих значениях, связанных с использованием компьютерных сетей и систем хранимой стоимости для передачи и хранения денег. Под электронными деньгами понимают системы хранения и передачи как традиционных валют, так и негосударственных частных валют.
Дополнительная информация https
Электронная коммерция в сети Интернет помогает людям в жизни: можно покупать/продавать вещи не выходя из дома, дает большой выбор услуг, повышает уровень жизни. Но вместе с этим существуют недостатки: мошенничество, утеря товара при перевозке или же просто могут быть бракованные товары.