Доклад за сигурността на електронната търговия. Тест Електронна търговия: сигурност и рискове Търговия с информационна сигурност

Въведение

Терминът „електронна търговия“ съчетава много различни технологии, включително EDI (електронен обмен на данни), електронна поща, интернет, интранет (обмен на информация в рамките на компанията), екстранет (обмен на информация с външния свят).

Областите на приложение на една система за електронна търговия са доста разнообразни. Те включват широк спектър от бизнес транзакции (бизнес транзакции) и транзакции, по-специално:

установяване на контакт между потенциален клиент и доставчик;

електронен обмен на необходимата информация;

поддръжка преди продажба и след продажба на клиент, закупил продукт в електронен магазин (предоставяне на подробна информация за продукт или услуга, предаване на инструкции за използване на продукта, бързи отговори на въпроси, които купувачът има);

пряко извършване на действието по продажба на продукт или услуга;

електронно плащане за покупки (използване на електронен паричен превод, кредитни карти, електронни пари, електронни чекове);

доставка на продукта до клиента, включително както управление на доставката, така и проследяване за физически стоки и директна доставка на стоки, които могат да бъдат разпространявани по електронен път;

създаването на виртуално предприятие, което е група от независими компании, които комбинират своите различни видове ресурси, за да получат възможности за предоставяне на продукти и услуги, които не са достъпни за независимо работещи фирми;

внедряване на независими бизнес процеси (набор от взаимосвързани операции и процедури, чрез които се реализира конкретна търговска цел на дейността на компанията в рамките на определена организационна структура), съвместно извършвани от производствената компания и нейните търговски партньори.

Сферите на дейност, в които може да се извършва електронна търговия, са не по-малко разнообразни. Основните области на дейност, в които може да се извършва електронната търговия, включват:

електронен маркетинг (интернет маркетинг);

финансиране на създаването на електронни магазини, както и тяхното застраховане;

търговски сделки, включително поръчка, получаване на стоки и плащане;

съвместно разработване на нов продукт или услуга от няколко компании;

организиране на разпределено съвместно производство на продукти;

бизнес администрация (данъци, мита, разрешителни, концесии и др.);

транспортни услуги, транспортни техники и начини на доставка;

счетоводство;

разрешаване на конфликтни ситуации и спорни въпроси.

Електронната търговия може да се извършва на различни нива:

национален;

международен (международен).

Сигурност на електронната търговия.

Сигурността е състояние, при което няма възможност за нанасяне на щети на нуждите и интересите на субектите на отношенията.

Осигуряването на информационна сигурност е един от ключовите аспекти за гарантиране на сигурността на предприятието. Според западни експерти изтичането на 20% от търговската информация в шестдесет случая от сто води до фалит на предприятието. Следователно физическата, икономическата и информационната сигурност са много тясно свързани помежду си.

Търговската информация има различни форми на представяне. Това може да бъде информация, предавана устно, и документирана информация, записана на различни материални носители (например на хартия или на дискета), и информация, предавана по различни комуникационни линии или компютърни мрежи.

Киберпрестъпниците използват различни методи за получаване на информация. Това включва „класически“ методи на шпионаж (изнудване, подкупи и др.), методи на индустриален шпионаж, неоторизирано използване на компютърно оборудване и аналитични методи. Следователно диапазонът от заплахи за информационната сигурност е изключително широк.

Нова област за индустриален шпионаж и различни други престъпления се отваря от широкото използване на компютърни технологии и технологии за електронна търговия.

С помощта на технически средства за промишлен шпионаж човек не само подслушва или шпионира действията на конкурентите по различни начини, но и получава информация, която директно се обработва в компютърните технологии. Най-голямата опасност тук е прякото използване на компютърни технологии от нападатели, което породи нов вид престъпления - компютърни престъпления, т.е. неоторизиран достъп до информация, обработвана на компютър, включително с помощта на технологии за електронна търговия.

Борбата с компютърните престъпления е трудна, което се обяснява основно с:

Новостта и сложността на проблема;

Трудности при навременното разкриване на компютърни престъпления и идентифициране на нападателя;

Възможността за извършване на престъпление с помощта на средства за отдалечен достъп, т.е. нападателят може изобщо да не е на местопрестъплението;

Трудности при събирането и законното документиране на доказателства за компютърно престъпление.

Принципите на създаване и функциониране на системите за сигурност могат да бъдат разделени на три основни блока: общи принципи на сигурността, организационни принципи и принципи на реализация на системата за сигурност.

Общите принципи на защита включват:

1) принципът на несигурността. Поради факта, че при осигуряване на охрана не се знае кой, кога, къде и как ще се опита да наруши сигурността на охранявания обект;

2) принципът на невъзможността за създаване на идеална система за защита. Този принцип следва от принципа на несигурността и ограничените ресурси, с които по правило разполага една система за сигурност;

3) принципът на минималния риск. Въпросът е, че при създаването на система за защита е необходимо да се избере минималната степен на риск въз основа на характеристиките на заплахите за сигурността, наличните ресурси и специфичните условия, в които се намира обектът на защита по всяко време;

4) принципът за защита на всеки от всеки. Този принцип предполага необходимостта от защита на всички субекти на отношенията срещу всички видове заплахи.

Организационните принципи включват:

1) принципът на законността. Важността на спазването на този очевиден принцип не може да бъде надценена. Въпреки това, с появата на нови правоотношения в руското законодателство, наред с добре познатите обекти на правото, като „държавна собственост“, „държавна тайна“, се появиха нови - „частна собственост“, „собственост на предприятието“, „ интелектуална собственост”, „търговска тайна”, „поверителна информация”, „информация с ограничен достъп”. Нормативната правна рамка, регулираща въпросите на сигурността, все още е несъвършена;

2) принципът на личната отговорност. Всеки служител на предприятие, фирма или техен клиент носи лична отговорност за осигуряване на режима на сигурност в рамките на своите правомощия или съответните инструкции. Отговорността за нарушаване на охранителния режим трябва да бъде предварително конкретизирана и персонифицирана;

3) принципът на разделение на властите. Вероятността от нарушаване на търговска тайна или нормалното функциониране на предприятието е правопропорционална на броя на осведомените лица, притежаващи информацията. Следователно, никой не трябва да бъде изложен на поверителна информация, освен ако това не е необходимо за изпълнение на служебните му задължения;

4) принципът на взаимодействие и сътрудничество. Вътрешната атмосфера на безопасност се постига чрез отношения на доверие между служителите. В същото време е необходимо да се гарантира, че персоналът на предприятието правилно разбира необходимостта от извършване на мерки за сигурност и в свой собствен интерес допринася за дейностите на службата за сигурност.

За да се анализира проблемът за осигуряване на сигурността на електронната търговия, е необходимо да се определят интересите на субектите на взаимоотношенията, които възникват в процеса на електронната търговия.

Прието е да се разграничават следните категории електронна търговия: бизнес към бизнес, бизнес към потребител, бизнес администрация. В същото време, независимо от категорията на електронната търговия, се разграничават класове субекти: финансови институции, клиенти и бизнес организации.

Отвореният характер на интернет технологиите и наличието на информация, предавана по мрежата, означава, че общите интереси на субектите за електронна търговия са в осигуряването на информационната сигурност на електронната търговия. Информационната сигурност включва гарантиране на автентификацията на партньорите за взаимодействие, целостта и поверителността на информацията, предавана по мрежата, наличността на услугите и управляемостта на инфраструктурата.

Обхватът на интересите на субектите на електронната търговия в областта на информационната сигурност може да бъде разделен на следните основни категории:

Наличност (възможност за получаване на необходимата услуга в разумен срок);

Цялостност (релевантност и последователност на информацията, нейната защита от унищожаване и неразрешени промени);

Конфиденциалност (защита на информацията от неоторизиран достъп).

Информационната сигурност е един от най-важните компоненти на интегрираната сигурност на електронната търговия.

Броят на атаките срещу информационни системи по света се удвоява всяка година. В такива условия системата за информационна сигурност на електронната търговия трябва да може да устои на множество и разнообразни вътрешни и външни заплахи.

Основните заплахи за информационната сигурност на електронната търговия са свързани с:

С умишлени атаки срещу интересите на субекти за електронна търговия (компютърни престъпления и компютърни вируси);

Неумишлени действия на обслужващия персонал (грешки, пропуски и др.);

Излагане на технически фактори, които могат да доведат до изкривяване и унищожаване на информацията (прекъсвания на захранването, софтуерни повреди);

Въздействие на техногенни фактори (природни бедствия, пожари, мащабни аварии и др.).

Заплахите за сигурността могат да бъдат свързани с действието на фактори, чието значение и влияние е почти винаги неизвестно. Следователно е невъзможно да се създаде напълно сигурна система. При създаването на система за сигурност на електронната търговия е необходимо да се сведе до минимум рискът от щети въз основа на характеристиките на заплахите за сигурността и специфичните условия на предприятието, занимаващо се с електронна търговия.

В този случай е необходимо да се основава на принципа на достатъчност, който се състои в това, че мерките, предприети в интерес на гарантиране на сигурността на електронната търговия, като се вземат предвид потенциалните заплахи, трябва да бъдат минимални и достатъчни.

Обхватът на предприетите мерки за сигурност трябва да съответства на съществуващите заплахи, в противен случай системата за сигурност няма да бъде рентабилна. В съответствие с това, за да се обоснове ефективността на мерките за гарантиране на сигурността на електронната търговия, се използват редица критерии, по един или друг начин базирани на сравнение на загубите, произтичащи от пробив в сигурността, и разходите за извършване на мерки за гарантира сигурността на електронната търговия.

Загубите, които могат да възникнат в предприятие за електронна търговия поради нарушение на информационната сигурност, могат да бъдат разделени на преки и непреки.

Преките загуби могат да бъдат изразени в стойност:

Възстановяване на повредена или физически изгубена информация в резултат на пожар, природно бедствие, кражба, грабеж, оперативни грешки, небрежност на персонала по поддръжката, хакване на компютърни системи и вируси;

Незначителни (незаконни) транзакции с парични средства и ценни книжа, извършени в електронна форма, чрез неразрешено проникване в компютърни системи и мрежи, както и злонамерена модификация на данни, умишлено увреждане на данни на електронни носители по време на съхранение, транспортиране или пренаписване на информация, предаване и получаване на фалшифицирани поръчки в електронни мрежи за пренос на данни и др.;

Обезщетение за физически и/или имуществени вреди, причинени на трети лица (субекти на електронна търговия – клиенти, потребители).

Косвените загуби могат да се изразят в текущите разходи за изплащане на заплати, лихви по заеми, наеми, амортизация и пропуснати ползи, които възникват, когато стопанската дейност на предприятието е принудена да бъде спряна поради нарушение на сигурността на предприятието.

Загубите и рисковете, свързани с тяхното възникване, принадлежат към финансови категории, чиито методи за икономическа оценка са разработени и известни. Затова няма да се спираме на техния подробен анализ.

Има два основни критерия, които ни позволяват да оценим ефективността на системата за защита:

Съотношението на цената на системата за защита (включително текущите разходи за поддържане на функционалността на тази система) към загубите, които могат да възникнат в случай на пробив в сигурността;

Съотношението на цената на система за сигурност към цената на хакването на тази система с цел компрометиране на сигурността.

Значението на тези критерии е следното: ако цената на система за защита, която осигурява дадено ниво на сигурност, е по-малка от цената за компенсиране на загубите, понесени в резултат на пробив в сигурността, тогава мерките за сигурност се считат за ефективни.

2. Витрина на онлайн магазин.















Библиография

1. Mayvold E. Електронна търговия: изисквания за сигурност http://www.intuit.ru/department/security/netsec/Електронен бизнес и сигурност / В. А. Биков.-М .: Радио и комуникации, 2013.

2. Авдошин С.М., Савелиева А.А., Сердюк В.А., Технологии и продукти на Microsoft за осигуряване на информационна сигурност - електронен ресурс http://www.intuit.ru/department/security/mssec/

Понятието „сигурност“ на руски се тълкува като състояние, при което няма опасност и има защита от нея. От лингвистична гледна точка понятието „безопасност” е антоним на понятието „опасност”. Той характеризира определено състояние на всяка система (социална, техническа или друга), процес или явление.

Сигурността е състояние, при което няма възможност за нанасяне на щети на нуждите и интересите на субектите на отношенията.

Заплахата, според речника на руския език, се определя като непосредствена опасност. Опасността е от общ, потенциален характер, но тъй като противоречията между субектите на отношенията възникват постоянно, опасност за интересите може да съществува постоянно.

Една от приетите дефиниции е следната: заплаха за сигурността е съвкупност от условия и фактори, които създават опасност за жизненоважни интереси, т.е. заплахата е представена от определен набор от обстоятелства (условия) и причини (фактори).

От правна гледна точка понятието „заплаха“ се определя като намерение за причиняване на вреда (вреда).

По този начин заплахата за сигурността може да се определи като „дейност, която се счита за враждебна на интересите“.

Въпреки разнообразието от видове заплахи, всички те са взаимосвързани и засягат интересите, като правило, по комплексен начин. Затова се създава система за сигурност, която да ги отслаби, неутрализира и парира.

Понятието „защита“ („сигурност“) означава защита на обекта на връзката от заплахи.

Осигуряването на сигурност е специално организирана дейност, насочена към поддържане на вътрешната стабилност на обекта, способността му да издържа на разрушителните, агресивни ефекти на различни фактори, както и активно да противодейства на съществуващите видове заплахи.

Системата за сигурност е предназначена за идентифициране на заплахи за интереси, поддържане на готовност и контрол на силите и средствата за сигурност и организиране на нормалното функциониране на съоръженията за сигурност.

Във връзка с електронната търговия определението за сигурност може да се формулира по следния начин.

Сигурност на електронната търговия- това е състояние на защита на интересите на субектите на отношенията, извършващи търговски операции (сделки) с помощта на технологии за електронна търговия от заплахи за материални и други загуби.

Гарантирането на сигурност, независимо от собствеността, е необходимо за всяко предприятие и институция, от държавни организации до малка палатка за търговия на дребно. Разликите ще бъдат само в това какви средства и методи и в каква степен са необходими за осигуряване на тяхната безопасност.

Пазарните отношения и тяхната неразделна част - конкуренцията се основават на принципа на "оцеляването" и следователно изискват задължително защита от заплахи.

Съгласно установената международна практика за сигурност, обекти на защита, като се вземат предвид техните приоритети, са:

  • - Човек;
  • - информация;
  • -- материални ценности.

Въз основа на концепцията за сигурност и обектите на защита, изброени по-горе, можем да кажем, че концепцията за „сигурност“ на всяко предприятие или организация включва (фиг. 120):

  • ? физическа сигурност, което означава осигуряване на защита от посегателства върху живота и личните интереси на служителите;
  • ? икономическа сигурност, което означава защита на икономическите интереси на субектите на отношенията. В рамките на икономическата сигурност се разглеждат и въпросите за осигуряване защитата на материалните активи от пожар, природни бедствия, кражби и други нападения;
  • ? информационна сигурност, което означава защита на информацията от модификация (изкривяване, унищожаване) и неразрешено използване.

Ежедневната практика показва, че основните заплахи за физическата сигурност включват:

  • - психологически терор, сплашване, изнудване, шантаж;
  • - грабеж с цел завладяване на материални ценности или документи;
  • - отвличане на служители на фирмата или членове на техните семейства;
  • - убийство на служител на фирма.

Ориз. 120.

В момента никой не може да се чувства в безопасност. Без да засягаме конкретни въпроси за осигуряване на физическа сигурност, можем да кажем, че за да извършат престъпление, престъпниците първо събират информация за жертвата и изучават нейните „слаби места“. Без необходимата информация за целта на атаката рискът за престъпниците нараства значително. Ето защо един от основните принципи за осигуряване на физическа сигурност е укриването на всяка информация за служителите на компанията, която престъпниците могат да използват за подготовка на престъпление. Най-общо могат да се формулират следните видове заплахи за икономическата сигурност:

  • - обща неплатежоспособност;
  • - загуба на средства от сделки с фалшиви документи;
  • - подкопаване на доверието в компанията.

Практиката показва, че наличието на тези заплахи се дължи преди всичко на следните основни причини:

  • - изтичане, унищожаване или модифициране (например изкривяване) на търговска информация;
  • - липса на пълна и обективна информация за служителите, партньорите и клиентите на компанията;
  • - разпространение от конкуренти на необективна информация, компрометираща компанията.

Осигуряването на информационна сигурност е един от ключовите аспекти за гарантиране на сигурността на една компания.

Според западни експерти изтичането на 20% от търговската информация в шестдесет случая от сто води до фалит на компанията. Следователно физическата, икономическата и информационната сигурност са много тясно свързани помежду си.

Търговската информация има различни форми на представяне. Това може да бъде информация, предавана устно, и документирана информация, записана на различни материални носители (например на хартия или на дискета), и информация, предавана по различни комуникационни линии или компютърни мрежи.

Киберпрестъпниците използват различни методи за получаване на информация. Това включва „класически“ методи на шпионаж (изнудване, подкупи и др.), методи на индустриален шпионаж, неоторизирано използване на компютърно оборудване и аналитични методи. Следователно диапазонът от заплахи за информационната сигурност е изключително широк.

Нова област за индустриален шпионаж и различни други престъпления се отваря от широкото използване на компютърни технологии и технологии за електронна търговия.

С помощта на технически средства за промишлен шпионаж човек не само подслушва или шпионира действията на конкурентите по различни начини, но и получава информация, която директно се обработва в компютърните технологии. Най-голямата опасност тук е прякото използване на компютърни технологии от нападатели, което породи нов вид престъпления - компютърни престъпления, т.е. неоторизиран достъп до информация, обработвана на компютър, включително с помощта на технологии за електронна търговия.

Борбата с компютърните престъпления е трудна, което се обяснява основно с:

  • ? новост и сложност на проблема;
  • ? трудността за своевременно откриване на компютърни престъпления и идентифициране на нападателя;
  • ? възможността за извършване на престъпление с помощта на средства за отдалечен достъп, т.е. нападателят може изобщо да не е на местопрестъплението;
  • ? трудности при събирането и законната обработка на доказателства за компютърно престъпление.

Обобщавайки горните видове заплахи за сигурността, можем да различим три компонента на проблема със сигурността:

  • - правна защита;
  • - организационна защита;
  • - инженерно-техническа защита.

Значението на правната защита следва от самото наименование.

Организационната защита включва организацията на охраната и режима на работа на съоръжението.

Инженерно-техническата защита се разбира като набор от инженерни, софтуерни и други средства, насочени към премахване на заплахи за сигурността.

Принципите на създаване и функциониране на системите за сигурност могат да бъдат разделени на три основни блока: общи принципи на сигурността, организационни принципи, принципи на реализация на системата за сигурност (фиг. 121).

1. Общи принципи на защита

Принцип на неопределеносттапоради факта, че при осигуряване на охрана не се знае кой, кога, къде и как ще се опита да наруши сигурността на охранявания обект.


Ориз. 121.

Принципът на невъзможността да се създаде идеална система за защита.Този принцип следва от принципа на неопределеността и ограничените ресурси, с които по правило разполага една система за сигурност.

Принцип на минимален риске, че при създаването на система за защита е необходимо да се избере минималната степен на риск въз основа на характеристиките на заплахите за сигурността, наличните ресурси и специфичните условия, в които се намира обектът на защита във всеки един момент.

Принципът на защита на всеки от всеки.Този принцип предполага необходимостта от защита на всички субекти на отношенията срещу всички видове заплахи.

2. Организационни принципи

Принципът на законността.Важността на спазването на този очевиден принцип не може да бъде надценена. Въпреки това, с появата на нови правоотношения в руското законодателство, наред с добре познатите обекти на правото, като „държавна собственост“, „държавна тайна“, се появиха нови - „частна собственост“, „собственост на предприятие“ , „интелектуална собственост“, „търговска тайна“, „поверителна информация“, „информация с ограничен достъп“. Нормативната рамка, регулираща въпросите на сигурността, все още е несъвършена.

Принципът на личната отговорност.Всеки служител на предприятие, фирма или техен клиент носи лична отговорност за осигуряване на режима на сигурност в рамките на своите правомощия или съответните инструкции. Отговорността за нарушаване на охранителния режим трябва да бъде предварително конкретизирана и персонифицирана.

Принципът на разделение на властите.Вероятността от нарушаване на търговска тайна или нормалното функциониране на предприятието е правопропорционална на броя на осведомените лица, притежаващи информацията. Следователно, никой не трябва да бъде изложен на поверителна информация, освен ако не е необходимо да го направи, за да изпълнява служебните си задължения.

Принципът на взаимодействие и сътрудничество.Вътрешна атмосфера на безопасност се постига чрез отношения на доверие между служителите. В същото време е необходимо да се гарантира, че персоналът на предприятието правилно разбира необходимостта от извършване на мерки за сигурност и в свой собствен интерес допринася за дейностите на службата за сигурност.

3. Принципи за реализиране на системата за защита

Принципът на комплексност и индивидуалност.Сигурността на обекта на защита не се осигурява от една мярка, а само от комплекс от комплексни, взаимосвързани и припокриващи се мерки, изпълнявани индивидуално спрямо конкретни условия.

Принципът на последователните граници.Прилагането на този принцип дава възможност за своевременно откриване на атака срещу сигурността и организиране на последователно противодействие на заплахата в съответствие със степента на опасност.

Принципът на защита на защитните средствае логично продължение на принципа за защита на „всички от всички“. С други думи, всяка мярка за защита трябва сама по себе си да бъде адекватно защитена. Например средство за защита срещу опити за извършване на промени в базата данни трябва да бъде защитено от софтуер, който прилага права за достъп.

Осигуряването на цялостна защита на обектите като цяло е индивидуална задача, която се определя от икономически съображения, състоянието, в което се намира обектът на защита, и много други обстоятелства.

Методологията за изграждане на система за сигурност е показана на фиг. 122.

Ориз. 122.

Преди да се пристъпи към създаване на система за сигурност, е необходимо да се идентифицират защитените обекти, чието унищожаване, модификация или неразрешено използване може да доведе до нарушаване на интереси, загуби и др.

След като са идентифицирани обектите на защита, трябва да се идентифицират техните области на интерес и да се анализират множеството заплахи за сигурността на обектите на защита. Ако заплахите за сигурността са умишлени, тогава е необходимо да се разработи предполагаем модел на нападателя. След това трябва да анализирате възможните заплахи и източниците на тяхното възникване, да изберете адекватни средства и методи за защита и по този начин да формулирате задачи и да определите структурата на системата за сигурност.

За да се анализира проблемът за осигуряване на сигурността на електронната търговия, е необходимо да се определят интересите на субектите на взаимоотношенията, които възникват в процеса на електронната търговия.

Прието е да се разграничават следните категории електронна търговия: бизнес към бизнес, бизнес към потребител, бизнес администрация. В същото време, независимо от категорията на електронната търговия, се разграничават три класа субекти: финансови институции, клиенти и бизнес организации (фиг. 123).

Финансовите институции може да са различни, но преди всичко това са банките, тъй като в тях всички останали субекти за електронна търговия имат сметки, които отразяват движението на средствата. Правилата и условията за движение на тези средства се определят от използваната платежна система.

Клиенти (купувачи, потребители) могат да бъдат както физически, така и юридически лица.

Бизнес организации са всяка организация, която продава или купува нещо по интернет.

Ориз. 123.

Отвореният характер на интернет технологиите и наличието на информация, предавана по интернет, означава, че общите интереси на субектите на електронната търговия са в осигуряването на информационната сигурност на електронната търговия. Информационната сигурност включва гарантиране на удостоверяването на партньорите за взаимодействие, целостта и поверителността на информацията, предавана през мрежата, наличността на услугите и управляемостта на инфраструктурата.

Обхватът на интересите на субектите на електронната търговия в областта на информационната сигурност може да бъде разделен на следните основни категории:

  • - достъпност (възможност за получаване на необходимата услуга в разумен срок);
  • - цялостност (релевантност и последователност на информацията, нейната защита от унищожаване и неразрешени промени);
  • - конфиденциалност (защита на информацията от неоторизиран достъп).

Информационната сигурност е един от най-важните компоненти на интегрираната сигурност на електронната търговия.

Броят на атаките срещу информационни системи по света се удвоява всяка година. В такива условия системата за информационна сигурност на електронната търговия трябва да може да устои на множество и разнообразни вътрешни и външни заплахи.

Основните заплахи за информационната сигурност на електронната търговия са свързани (фиг. 124):

  • -- с умишлени атаки срещу интересите на субекти за електронна търговия (компютърни престъпления и компютърни вируси);
  • - с неволни действия на обслужващия персонал (грешки, пропуски и др.);
  • - с влиянието на технически фактори, които могат да доведат до изкривяване и унищожаване на информацията (сривове в захранването, софтуерни повреди);

Ориз. 124.

С въздействието на така наречените техногенни фактори (природни бедствия, пожари, мащабни аварии и др.).

В резултат на изучаването на материала в тази глава студентът трябва: зная

  • правни основи на информационната сигурност;
  • стандарти за сигурност при плащания с пластмасови карти;
  • правила за работа с електронни фактури; да бъде в състояние да
  • направете сигурно плащане с пластмасова карта;
  • правете безопасни покупки с пластмасови карти; собствен
  • познаване на съвременните информационни атаки и класификация на АРТ атаките;
  • познания за подобряване на сигурността на EDI и електронните плащания.

Сигурност за бизнеса в електронната търговия

Под сигурност на предприятието се разбира състоянието на неговата сигурност от външни и вътрешни заплахи. Концепцията за корпоративна сигурност включва:

  • защита на правната сигурност;
  • защита на личните данни;
  • физическа охрана;
  • икономическа и финансова сигурност;
  • информационна сигурност.

Най-често срещаните киберпрестъпления през 2014 г. и началото на 2015 г. са целенасочени атаки срещу корпоративни информационни системи (APT - усъвършенствана постоянна заплаха), опити за използване на уязвимости в приложения с отворен код, динамични техники за заобикаляне на сигурността (AET - усъвършенствани техники за укриване), заплахи във финансовия сектор, мобилни плащания, дистанционно банкиране, онлайн банкиране. Зловреден банков софтуер включва банкери, кийлогъри и програми за кражба на виртуални портфейли. Банкер (банкери) е специален вид системни залози в букмейкърите, при които се избират едно (или няколко) събития с очакван успешен изход. През 2014 г. експертите регистрираха 16 милиона заразявания на Windows компютри със зловреден банков софтуер и бяха открити 12 хиляди троянски коне за мобилно банкиране.

Заплахите за физическата сигурност включват атаки срещу живота и личните интереси на служителите на предприятието, такива действия срещу служители на предприятието като психологически терор, сплашване, изнудване, грабеж с цел завладяване на материални активи или документи, отвличане на служители, заплахи за живота, кражби, както и пожари и природни бедствия.

Икономическата и финансова сигурност включва защитата на икономическите и финансовите интереси на предприятието и неговите субекти. Заплахите за икономическата и финансовата сигурност са несъстоятелността на предприятието, компрометиране и подкопаване на доверието в предприятието, използване на фалшиви документи, изтичане на търговска информация, фалшифициране на финансови документи за получаване на заем, нарушаване на условията за плащане, разкриване на поверителна информация. финансова информация, условия за отпускане на кредити, фалшифициране на стоки и техните търговски марки и др.

Правната защита се постига чрез спазване от всеки субект на електронната търговия на законодателството на Руската федерация, наредби и правни актове, споразумения на страните по електронни транзакции, права и задължения в съответствие с правния статут на субекта, права и задължения в процедурата за извършване на електронна сделка. Участниците в електронните сделки са субекти и посредници на електронната търговия. От тях се изисква да предприемат действия за намаляване на рисковете, предотвратяване на заплахи и конфликти в процесите на електронната търговия. За да направят това, те трябва да използват средства за превенция и превенция на престъпността, като наблюдават правната подкрепа на своите дейности. Моделът на Закона за електронната търговия, приет с Резолюция на Междупарламентарната асамблея на държавите-членки на ОНД № 31-12 от 2008 г., определя основните мерки за гарантиране на сигурността на електронната търговия.

При провеждането на ЕК е важно да се спазват разпоредбите на Федералния закон от 29 юли 2004 г. № 98-FZ „За търговската тайна“. Законът дава следната дефиниция: „Търговска тайна е режим на поверителност на информация, който позволява на нейния собственик при съществуващи или възможни обстоятелства да увеличи доходите, да избегне неоправдани разходи, да поддържа позиция на пазара на стоки, работи, услуги, или да получите други търговски ползи.“

В съответствие с параграф 2 на чл. 3 от Закона за търговската тайна информация, представляваща търговска тайна, е информация от всякакъв характер, която има действителна или потенциална търговска стойност. Тя е юридически неизвестна на трети страни или собственикът на информацията е въвел режим на търговска тайна за нея. Информацията може да бъде от производствен, технически, икономически, организационен или друг характер. Член 15, част 1 от Гражданския кодекс на Руската федерация предвижда обезщетение за загуби, причинени от нарушаване на режима на търговската тайна. Под вреди се разбират разходите, необходими за възстановяване на нарушеното право. Те се поемат от лицето, чиито права са нарушени.

За да гарантира защитата на търговската тайна в предприятието, работодателят е длъжен да издаде „Правила за използване на корпоративната електронна поща“ и „Заповед за въвеждане на режим на търговска тайна“. В заповедта се посочва информация, която представлява търговска тайна в това предприятие. Правилникът и заповедта се довеждат до знанието на всички служители на предприятието под личен подпис. Собственикът на информация, представляваща търговска тайна, има право да използва, ако е необходимо, средства и методи за техническа защита на тази информация. Той може да прилага и други защитни мерки, които не противоречат на законодателството на Руската федерация. Това следва от чл. 34, клауза 1 от Конституцията на Руската федерация.

Забележка.Спазването на разпоредбите на Закона за търговската тайна е необходимо за студенти, които преминават практика в държавни или търговски предприятия. Информацията, включена в докладите за стажове и заключителни квалификационни работи, не трябва да разкрива търговските тайни на тези предприятия.

Броят на интернет потребителите достигна няколкостотин милиона и се появи ново качество под формата на „виртуална икономика“. При него покупките се извършват през сайтове за пазаруване, като се използват нови бизнес модели, собствена маркетингова стратегия и т.н.

Електронната търговия (EC) е бизнес дейност за продажба на стоки през Интернет. По правило има две форми на ЕК:

    търговия между предприятия (business to business, B2B);

    търговия между предприятия и физически лица, т.е. потребители (бизнес към потребител, B2C).

ЕО породи нови концепции като:

    Електронният магазин е витрина и системи за търговия, които се използват от производители или търговци, когато има търсене на стоки.

    Електронен каталог – с богат асортимент от продукти от различни производители.

    Електронният търг е аналог на класически търг, използващ Интернет технологии, с характерна връзка с мултимедиен интерфейс, канал за достъп до Интернет и показване на характеристиките на продукта.

    Електронният универсален магазин е аналог на обикновен универсален магазин, където обикновените компании показват стоките си с ефективна продуктова марка (Gostiny Dvor, GUM и др.).

    Виртуални общности (общности), в които купувачите са организирани от групи по интереси (фен клубове, асоциации и др.).

Интернет в областта на ЕК носи значителни предимства:

    спестяванията за големи частни компании от прехвърляне на покупки на суровини и компоненти към интернет борси достигат 25 - 30%;

    участието в търг на конкурентни доставчици от цял ​​свят в реално време води до намаляване на програмираните от тях цени за доставка на стоки или услуги;

    повишаване на цените на стоките или услугите в резултат на конкуренция от купувачи от цял ​​свят;

    икономии чрез намаляване на броя на необходимите служители и обема на документацията.

Доминираща позиция в ЕС в западните страни заема B2B секторът, който до 2007 г. според различни оценки ще достигне от 3 до 6 трлн. долара.

Първите, които се възползваха от прехвърлянето на бизнеса си в Интернет, бяха компаниите, продаващи хардуер и софтуер и предоставящи компютърни и телекомуникационни услуги.

Всеки онлайн магазин включва два основни компонента: електронна витрина и система за търговия.

Електронната витрина съдържа информация за стоките, продавани на уеб сайта, осигурява достъп до базата данни на магазина, регистрира клиенти, работи с електронната „кошница“ на купувача, прави поръчки, събира маркетингова информация и предава информация към системата за търговия.

Търговската система доставя стоките и обработва плащането за тях. Системата за търговия е съвкупност от магазини, собственост на различни компании, които наемат място на уеб сървър, собственост на отделна компания.

Технологията за работа на онлайн магазин е следната:

    Купувачът избира желания продукт от електронна витрина с каталог със стоки и цени (уеб сайт) и попълва формуляр с лични данни (трите имена, пощенски и имейл адрес, предпочитан начин за доставка и плащане). Ако плащането се извършва чрез интернет, тогава се обръща специално внимание на информационната сигурност.

    Прехвърляне на завършени стоки към търговската система на онлайн магазина, където е завършена поръчката. Системата за търговия работи ръчно или автоматично. Ръчната система работи на принципа на Posyltorg, когато е невъзможно да се закупи и настрои автоматизирана система, като правило, когато обемът на стоките е малък.

    Доставка и плащане на стоки. Доставката на стоки до купувача се извършва по един от възможните начини:

    магазин куриер в рамките на града и околностите;

    специализирана куриерска услуга (включително от чужбина);

  • Вдигни;

    Такъв специфичен продукт като информацията се доставя чрез телекомуникационни мрежи.

Плащането на стоките може да се извърши по следните начини:

    предварително или в момента на получаване на стоката;

    в брой на куриера или при посещение в реален магазин;

    пощенски превод;

    Банкова транзакция;

    наложен платеж;

    използване на кредитни карти (VISA, MASTER CARD и др.);

чрез системи за електронни разплащания чрез отделни търговски банки (ТЕЛЕБАНК, АСИСТ и др.).

Напоследък електронната търговия или търговията през интернет се развива доста бързо в света. Естествено този процес се осъществява с прякото участие на финансовите институции. И този метод на търговия става все по-популярен, поне там, където новият електронен пазар може да се използва от голяма част от бизнеса и населението.

Търговските дейности в електронни мрежи премахват някои физически ограничения. Компаниите, свързвайки своите компютърни системи с интернет, са в състояние да предоставят на клиентите поддръжка 24 часа в денонощието, без празници или почивни дни. Поръчки за продукти могат да се приемат по всяко време от всяко място.

Тази „монета“ обаче има и друга страна. В чужбина, където електронната търговия е най-широко развита, транзакциите или цената на стоките често се ограничава до 300-400 $. Това се дължи на недостатъчното решение на проблемите с информационната сигурност в компютърните мрежи. Според Комитета на ООН за предотвратяване и контрол на престъпността компютърните престъпления са достигнали нивото на един от международните проблеми. В САЩ този вид престъпна дейност е на трето място по доходност след трафика на оръжия и наркотици.

Обемът на глобалния оборот от електронната търговия през Интернет през 2006 г., според прогнозите на Forrester Tech, може да варира от 1,8 до 2 трилиона. Такъв широк прогнозен диапазон се определя от проблема за осигуряване на икономическата сигурност на електронната търговия. Ако нивата на сигурност останат на сегашните нива, световният оборот от електронната търговия може да бъде още по-малък. От това следва, че именно ниската сигурност на системата за електронна търговия е ограничаващ фактор за развитието на електронния бизнес.

Решаването на проблема с осигуряването на икономическата сигурност на електронната търговия е свързано преди всичко с решаването на въпросите за защита на информационните технологии, използвани в нея, тоест осигуряване на информационна сигурност.

Интегрирането на бизнес процесите в интернет среда води до фундаментална промяна в ситуацията със сигурността. Създаването на права и отговорности въз основа на електронен документ изисква цялостна защита от целия набор от заплахи, както на подателя на документа, така и на неговия получател.

За съжаление, мениджърите на предприятията за електронна търговия надлежно осъзнават сериозността на информационните заплахи и важността на организирането на защитата на техните ресурси едва след като последните са обект на информационни атаки. Както можете да видите, всички изброени пречки се отнасят до областта на информационната сигурност.

Основните изисквания за извършване на търговски транзакции включват поверителност, цялост, удостоверяване, оторизация, гаранции и секретност.

При постигане на сигурност на информацията, гарантирането на нейната наличност, поверителност, цялост и правна значимост са основни задачи . Всяка заплаха трябва да се разглежда от гледна точка на това как може да засегне тези четири свойства или качества на защитената информация. Конфиденциалностозначава, че информацията с ограничен достъп трябва да бъде достъпна само за тези, за които е предназначена. Под интегритетинформацията се разбира като нейното свойство да съществува в неизкривен вид. Наличностинформация се определя от способността на системата да осигури своевременен, безпрепятствен достъп до информация на субекти, които имат съответните правомощия за това. Правно значениеинформацията стана важна напоследък, заедно със създаването на нормативна база за информационна сигурност у нас.

Ако първите четири изисквания могат да бъдат изпълнени с технически средства, то изпълнението на последните две зависи както от техническите средства, така и от отговорността на лицата и организациите, както и от спазването на законите, които защитават потребителите от възможни измами от страна на продавачите.

Като част от осигуряването на цялостна информационна сигурност, на първо място е необходимо да се подчертае ключът предизвикателства пред сигурността на електронния бизнес , които включват: защита на информацията при предаването й по комуникационни канали; защита на компютърни системи, бази данни и електронен документооборот; осигуряване на дългосрочно съхранение на информация в електронен вид; осигуряване на сигурност на транзакциите, конфиденциалност на търговската информация, автентификация, защита на интелектуалната собственост и др.

Има няколко вида заплахи за електронна търговия:

    Проникване в системата отвън.

    Неоторизиран достъп в рамките на компанията.

    Умишлено прихващане и четене на информация.

    Умишлено прекъсване на данни или мрежи.

    Неправилна (за измамни цели) идентификация на потребителя.

    Хакерска хардуерна и софтуерна защита.

    Неоторизиран потребителски достъп от една мрежа в друга.

    Вирусни атаки.

    Отказ на услуга.

    Финансова измама.

За противодействие на тези заплахи се използват редица методи, базирани на различни технологии, а именно: криптиране – кодиране на данни, което предотвратява тяхното четене или изкривяване; цифрови подписи, които удостоверяват самоличността на подателя и получателя; стелт технологии, използващи електронни ключове; защитни стени; виртуални и частни мрежи.

Никой метод за защита не е универсален; например защитните стени не проверяват за вируси и не са в състояние да гарантират целостта на данните. Няма абсолютно надежден начин за противодействие на хакването на автоматичната защита и е само въпрос на време тя да бъде хакната. Но времето, необходимо за прекъсване на такава защита, от своя страна зависи от нейното качество. Трябва да се каже, че софтуерът и хардуерът за защита на връзките и приложенията в Интернет са разработени дълго време, въпреки че новите технологии се въвеждат малко неравномерно.

Който заплахи чакат компания за електронна търговия на всеки етап :

    подмяна на уеб страницата на сървъра на електронния магазин (пренасочване на заявки към друг сървър), предоставяне на информация за клиента, особено за кредитните му карти, на трети лица;

    създаване на фалшиви поръчки и различни форми на измама от страна на служители на електронен магазин, например манипулиране на бази данни (статистиката показва, че повече от половината компютърни инциденти са свързани с дейностите на техните собствени служители);

    Прихващане на данни, предавани през мрежи за електронна търговия;

    проникване на нападатели във вътрешната мрежа на компанията и компрометиране на компоненти на електронен магазин;

    прилагане на атаки за отказ на услуга и прекъсване на функционирането или деактивиране на възел за електронна търговия.

В резултат на прилагането на такива заплахи компанията губи доверието на клиентите, губи пари от потенциални и/или несъвършени транзакции, нарушава се дейността на електронния магазин и изразходва време, пари и човешки ресурси за възстановяване на функционирането.

Разбира се, заплахите, свързани с прихващането на информация, предавана чрез интернет, не се ограничават само до сектора на електронната търговия. От особено значение във връзка с последното е фактът, че неговите системи съдържат информация с голямо икономическо значение: номера на кредитни карти, номера на сметки, съдържание на договори и др.

На пръв поглед може да изглежда, че всеки подобен инцидент не е нищо повече от вътрешна работа на конкретен субект на електронния бизнес. Все пак нека си спомним 2000 г., която беше белязана от случаи на масов срив на водещи сървъри за електронен бизнес, чиято дейност е наистина национална: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade . Разследване, проведено от ФБР, показа, че тези сървъри не работят поради многократно увеличен брой заявки за услуги, изпратени до тях в резултат на DoS атаки. Например, потокът от заявки към сървъра за купуване надвишава средното 24 пъти, а максималното - 8 пъти. Според различни оценки икономическите щети, понесени от американската икономика от тези действия, варират около милиард и половина.

Осигуряването на сигурност е не само необходимо условие за успешен електронен бизнес, но и основа за доверителни отношения между контрагентите. Самата същност на електронния бизнес включва активен обмен на информация и транзакции през незащитена публична мрежа, които са просто невъзможни без доверителни отношения между бизнес субектите. Следователно осигуряването на сигурност е сложно, включително задачи като достъп до уеб сървъри и уеб приложения, удостоверяване и оторизация на потребители, гарантиране на целостта и поверителността на данните, прилагане на електронни цифрови подписи и др.

С нарастващата комерсиализация на Интернет се обръща все повече внимание на защитата на информацията, предавана по мрежата. Специализираните протоколи, предназначени да организират сигурно взаимодействие чрез Интернет (например SET, SOCKS5, SSL, SHTTP и др.), Получиха широко признание в целия свят и се използват успешно от чуждестранни разработчици за създаване на интернет базирани електронни системи за банкиране и търговия.

В чужбина проблемът с информационната сигурност на електронния бизнес се решава от независим консорциум - Internet Security Task Force (ISTF) - обществена организация, състояща се от представители и експерти на компании, които доставят инструменти за информационна сигурност, електронен бизнес и интернет услуги доставчици.

Консорциумът ISTF подчертава дванадесет области на информационна сигурност , върху които основно трябва да се съсредоточи вниманието на организаторите на електронния бизнес:

    механизъм за обективно потвърждаване на идентифицираща информация;

    правото на лична, частна информация;

    откриване на събития за сигурност;

    охрана на корпоративния периметър;

    откриване на атака;

    контрол на потенциално опасно съдържание;

    контрол на достъпа;

    администрация;

    реакция на събитията.

Известно е, че използването на алгоритми за електронен цифров подпис (EDS) позволява надеждна защита срещу много заплахи, но това е вярно само ако тези алгоритми са вплетени в добре обосновани протоколи за взаимодействие, правно правилна структура на взаимоотношения и логически затворен система на доверие.

Информационната сигурност се основава на простата логика на процесите на изчисляване на цифров подпис и проверката му с чифт съответни ключове, но логиката се основава на фундаментални математически изследвания. Само собственикът на частния ключ може да изчисли цифров подпис и всеки, който има публичен ключ, съответстващ на частния ключ, може да го провери.

Разбира се, специалисти в тази област трябва да участват в осигуряването на информационната сигурност, но ръководителите на държавни органи, предприятия и институции, независимо от тяхната форма на собственост, които отговарят за икономическата сигурност на определени икономически субекти, трябва постоянно да държат тези въпроси в тяхното зрително поле. По-долу са основните функционални компоненти на организирането на цялостна система за информационна сигурност:

    комуникационни протоколи;

    инструменти за криптография;

    средства за контролиране на достъпа до работни станции от обществени мрежи;

    антивирусни комплекси;

    програми за откриване и одит на атаки;

    средства за централизирано управление на контрола на потребителския достъп, както и сигурен обмен на пакети данни и съобщения на всякакви приложения през отворени мрежи.

Интернет отдавна има редица комисии, предимно доброволчески организации, които внимателно ръководят предлаганите технологии през процеса на стандартизация. Тези комитети, които съставляват по-голямата част от Internet Engineering Task Force (IETF), са стандартизирали няколко важни протокола, ускорявайки приемането им в Интернет. Протоколи като фамилията TCP/IP за комуникации на данни, SMTP (прост протокол за транспортиране на поща) и POP (протокол за пощенски офис) за имейл и SNMP (прост протокол за управление на мрежата) за управление на мрежата са пряк резултат от усилията на IETF. Видът на използвания продукт за сигурност зависи от нуждите на компанията.

Защитените протоколи за предаване на данни са популярни в Интернет, а именно SSL, SET, IP v.6. Изброените протоколи се появиха в интернет сравнително наскоро, като необходимост за защита на ценна информация, и веднага станаха де факто стандарти. Нека си припомним, че интернет е създаден преди няколко десетилетия за научен обмен на информация на ниска цена.

За съжаление, в Русия те все още са много предпазливи относно възможността за въвеждане на интернет в онези области на дейност, които са свързани с предаването, обработката и съхранението на поверителна информация. Подобна предпазливост се обяснява не само с консерватизма на местните финансови институции, които се страхуват от отвореността и достъпността на Интернет, но отчасти и с факта, че повечето софтуери за информационна сигурност от западни производствени компании навлизат на нашия пазар с експортни ограничения по отношение на криптографските внедрени в тях алгоритми. Например в експортираните версии на софтуер за WWW сървъри и браузъри от производители като Microsoft и Netscape Communications има ограничения за дължината на ключа за алгоритми за шифроване с един ключ и двоен ключ, използвани от SSL протокола, който не осигурява пълно защита при работа в Интернет.

Приложенията за електронна търговия обаче, в допълнение към вътрешните заплахи, са податливи и на външни заплахи, произтичащи от Интернет. И тъй като е нерационално да се присвоява отделен идентификатор за влизане на всеки анонимен посетител (тъй като приложението не расте), компаниите трябва да използват различен тип удостоверяване. Освен това е необходимо да подготвите сървърите за отблъскване на атаки. И накрая, трябва да бъдете изключително внимателни с чувствителни данни, като номера на кредитни карти.

Криптиране на данни

Бизнес уебсайтът обработва чувствителна информация (като номера на потребителски кредитни карти). Предаването на такава информация по интернет без никаква защита може да доведе до непоправими последици. Всеки може да подслушва предаването и така да получи достъп до поверителна информация. Следователно данните трябва да бъдат криптирани и предадени по защитен канал. За осъществяване на защитен трансфер на данни се използва протоколът Secure Sockets Layer (SSL).

За да приложите тази функционалност, трябва да закупите цифров сертификат и да го инсталирате на вашия сървър(и). Можете да кандидатствате за цифров сертификат от един от сертифициращите органи. Добре известни организации за търговско сертифициране включват: VerySign, CyberTrust, GTE.

SSL е схема за протоколи като HTTP (наричан HTTPS, когато е защитен), FTP и NNTP. Когато използвате SSL за пренос на данни:

    данните са криптирани;

    е установена защитена връзка между сървъра източник и сървъра местоназначение;

    Удостоверяването на сървъра е активирано.

Когато потребител изпрати номер на кредитна карта чрез SSL, данните незабавно се криптират, така че хакерът да не може да види съдържанието им. SSL е независим от мрежовия протокол.

Сървърният софтуер на Netscape също осигурява удостоверяване - сертификати и цифрови подписи - удостоверяващи самоличността на потребителя и целостта на съобщението и гарантирайки, че съобщението не е променило своя маршрут.

Удостоверяването включва потвърждаване на самоличността и цифровия подпис на потребителя, за да се провери автентичността на документите, участващи в обмена на информация и финансовите транзакции. Цифровият подпис е данни, които могат да бъдат прикачени към документ, за да се предотврати фалшификация.

Засичане на проникване

Системите за откриване на проникване (IDS) могат да идентифицират модели на атаки или следи, да генерират аларми, за да предупредят операторите и да подканят рутерите да прекъснат връзките към източници на незаконно проникване. Тези системи могат също така да предотвратят опити за причиняване на отказ на услуга.

Защита на данните на сайта

За да защитите данните на сайта, е необходимо да анализирате използваните от сайта данни и да определите политика за сигурност. Тези данни може да са HTML код, подробности за клиента и продукта, съхранени в база данни, директории, пароли и друга информация за удостоверяване. Ето някои основни принципи, които могат да се използват при определяне на вашата политика за сигурност на данните:

    Необходимо е да се пазят чувствителни данни зад вътрешна защитна стена, в защитена вътрешна мрежа. Чувствителните данни трябва да се предоставят с минимален брой точки за достъп. Трябва да се помни, че добавянето на нива на сигурност и усложняването на достъпа до системата засяга работата на системата като цяло.

    Базите данни, съхраняващи нискочувствителни данни, могат да бъдат разположени на DMZ сървъри.

    Паролите могат да се съхраняват след преобразуване с помощта на еднопосочни алгоритми. Това обаче прави невъзможно прилагането на общата (и популярна) възможност за обработка на съобщения като „Забравих паролата си, моля, изпратете ми я по имейл“, въпреки че е възможно да създадете нова парола и да я изпратите като алтернатива.

    Чувствителна информация, като номера на кредитни карти, може да се съхранява в бази данни дори след като е криптирана. Само оторизирани потребители и приложения могат да го дешифрират всеки път, когато възникне необходимост. Това обаче се отразява и на скоростта на системата като цяло.

Можете също да защитите данните на сайта, като използвате компоненти от средно ниво. Тези компоненти могат да бъдат програмирани да удостоверяват потребители, като позволяват само на оторизирани потребители да имат достъп до базата данни и нейните компоненти и ги защитават от външни заплахи.

Можете да внедрите допълнителни функции за сигурност от страната на сървъра на системата. Например, можете да използвате персонализирани функции за защита на SQL Server, за да предотвратите неоторизиран вътрешен достъп до база данни.

Обърнете внимание, че е също толкова важно да защитите архивите, съдържащи потребителска информация.

Ситуацията се утежнява още повече от факта, че всяка седмица се откриват все повече нови начини за проникване или повреждане на данни, чиято поява могат да наблюдават само професионални организации, специализирани в информационната сигурност.

Интегрирането на търговията в Интернет обещава фундаментална промяна в ситуацията със сигурността. С нарастващата комерсиализация на Интернет се обръща все повече внимание на защитата на информацията, предавана по мрежата. Следователно напредъкът в областта на информационната сигурност до голяма степен определя развитието на процеса на електронна търговия.

В Русия развитието на електронната търговия е възпрепятствано от:

    Липсата или слабото развитие на инфраструктурата на ЕС, по-специално надеждна и широко разпространена инфраструктура за доставка на стоки до купувача (куриерски услуги и т.н.), особено чрез „електронен магазин“, разположен в друг град.

    Изостава държавна правоприлагаща практика и, като следствие, липса или слаби гаранции за изпълнение на сделки, сключени в електронна форма.

    Наличие на обективни и субективни предпоставки за развитие на измама, свързана с използването на Интернет за търговия.

    Лоша маркетингова разработка на проектите на ЕК.

    Трудности при плащането на стоки, по-специално липсата на обществено доверие в търговските банки.

Ниското ниво на доходите на по-голямата част от руското население прави парите по-значимо богатство от времето, така че много руснаци не са съгласни да плащат разходите за доставка заедно със стойността на стоките и предпочитат да пазаруват в обикновени магазини. Следователно ЕК може да стане широко разпространен в Русия само след значително подобряване на икономическата ситуация в страната.

Информационна сигурност на електронната търговия (EC)

Броят на интернет потребителите достигна няколкостотин милиона и се появи ново качество под формата на „виртуална икономика“. При него покупките се извършват през сайтове за пазаруване, като се използват нови бизнес модели, собствена маркетингова стратегия и т.н.

Електронната търговия (EC) е бизнес дейност за продажба на стоки през Интернет. По правило има две форми на ЕК:

* търговия между предприятията (business to business, B2B);

* търговия между предприятия и физически лица, т.е. потребители (бизнес към потребител, B2C).

ЕО породи нови концепции като:

* Електронен магазин – витрини и системи за търговия, които се използват от производители или търговци, когато има търсене на стоки.

* Електронен каталог – с богат асортимент от продукти от различни производители.

* Електронният аукцион е аналог на класически аукцион, използващ Интернет технологии, с характерна връзка с мултимедиен интерфейс, канал за достъп до Интернет и показване на характеристиките на продукта.

* Електронният универсален магазин е аналог на обикновен универсален магазин, където обикновените компании показват стоките си с ефективна продуктова марка (Gostiny Dvor, GUM и др.).

* Виртуални общности (общности), в които купувачите са организирани по групи по интереси (фен клубове, асоциации и др.).

Интернет в областта на ЕК носи значителни ползи:

* спестяванията за големи частни компании от прехвърляне на покупки на суровини и компоненти към интернет борси достигат 25 - 30%;

* участието в аукциона на конкурентни доставчици от цял ​​свят в реално време води до намаляване на програмираните от тях цени за доставка на стоки или услуги;

* повишаване на цените на стоките или услугите в резултат на конкуренция от купувачи от цял ​​свят;

* спестявания чрез намаляване на броя на необходимите служители и обема на документацията.

Доминираща позиция в ЕС в западните страни заема B2B секторът, който до 2007 г. според различни оценки ще достигне от 3 до 6 трлн. долара. Първите, които се възползваха от прехвърлянето на бизнеса си в Интернет, бяха компаниите, продаващи хардуер и софтуер и предоставящи компютърни и телекомуникационни услуги.

Всеки онлайн магазин включва две основни компоненти:

електронна витрина и система за търговия.

Електронната витрина съдържа информация за стоките, продавани на уеб сайта, осигурява достъп до базата данни на магазина, регистрира клиенти, работи с електронната „кошница“ на купувача, прави поръчки, събира маркетингова информация и предава информация към системата за търговия.

Търговската система доставя стоките и обработва плащането за тях. Системата за търговия е съвкупност от магазини, собственост на различни компании, които наемат място на уеб сървър, собственост на отделна компания.

Технология за работа на онлайн магазинакакто следва:

Купувачът избира желания продукт от електронна витрина с каталог със стоки и цени (уеб сайт) и попълва формуляр с лични данни (трите имена, пощенски и имейл адрес, предпочитан начин за доставка и плащане). Ако плащането се извършва чрез интернет, тогава се обръща специално внимание на информационната сигурност.

Прехвърляне на готови стоки към търговската система на онлайн магазина,

където е завършена поръчката. Системата за търговия работи ръчно или автоматично. Ръчната система работи на принципа на Posyltorg, когато е невъзможно да се закупи и настрои автоматизирана система, като правило, когато обемът на стоките е малък.

Доставка и плащане на стоки. Стоката се доставя на купувача

по един от възможните начини:

* магазин с куриер в рамките на града и околностите;

* специализирана куриерска услуга (включително от чужбина);

* Вдигни;

* такава специфична информация се доставя чрез телекомуникационни мрежи

продукт като информация.

Плащането на стоките може да се извърши по следните начини:

* предварително или в момента на получаване на стоката;

* в брой на куриер или при посещение в реален магазин;

* с пощенски превод;

* Банкова транзакция;

* наложен платеж;

* използване на кредитни карти (VISA, MASTER CARD и др.);

чрез електронни разплащателни системи чрез индивидуална реклама

банки (ТЕЛЕБАНК, АСИСТ и др.).

Напоследък електронната търговия или търговията през интернет се развива доста бързо в света. Естествено, този процес

се извършва с прякото участие на финансови институции. И този метод на търговия става все по-популярен, поне там, където новият електронен пазар може да се използва от голяма част от бизнеса и населението.

Търговските дейности в електронни мрежи премахват някои физически ограничения. Фирми, свързващи своите компютърни системи към

Интернет, са в състояние да предоставят на клиентите поддръжка 24 часа в денонощието без празници и почивни дни. Поръчки за продукти могат да се приемат по всяко време от всяко място.

Тази „монета“ обаче има и друга страна. В чужбина, където електронната търговия е най-широко развита, транзакциите или цената на стоките често се ограничава до 300-400 $. Това се дължи на недостатъчното решение на проблемите с информационната сигурност в компютърните мрежи. Според Комитета на ООН за предотвратяване и контрол на престъпността компютърните престъпления са достигнали нивото на един от международните проблеми. В САЩ този вид престъпна дейност е на трето място по доходност след трафика на оръжия и наркотици.

Обемът на световния оборот от електронната търговия през Интернет през 2006 г.

Според прогнози на Forrester Tech., той може да варира от 1,8 до 2 трилиона. Такъв широк прогнозен диапазон се определя от проблема за осигуряване на икономическата сигурност на електронната търговия. Ако нивата на сигурност останат на сегашните нива, световният оборот от електронната търговия може да бъде още по-малък. От това следва, че именно ниската сигурност на системата за електронна търговия е ограничаващ фактор за развитието на електронния бизнес.

Решаването на проблема с осигуряването на икономическата сигурност на електронната търговия е свързано преди всичко с решаването на въпросите за защита на информационните технологии, използвани в нея, тоест осигуряване на информационна сигурност.

Интегрирането на бизнес процесите в интернет среда води до фундаментална промяна в ситуацията със сигурността. Създаването на права и отговорности въз основа на електронен документ изисква цялостна защита от целия набор от заплахи, както на подателя на документа, така и на неговия получател. За съжаление, мениджърите на предприятията за електронна търговия надлежно осъзнават сериозността на информационните заплахи и важността на организирането на защитата на техните ресурси едва след като последните са обект на информационни атаки. Както можете да видите, всички изброени пречки се отнасят до областта на информационната сигурност.

Основните изисквания за извършване на търговски транзакции включват поверителност, цялост, удостоверяване, оторизация, гаранции и секретност.

При постигане на сигурност на информацията, гарантирането на нейната наличност, поверителност, цялост и правна значимост са основен задачи . Всяка заплаха трябва да се разглежда от гледна точка на това как може да засегне тези четири свойства или качества на защитената информация.

Конфиденциалностозначава, че информацията с ограничен достъп трябва да бъде достъпна само за тези, за които е предназначена. Под интегритетинформацията се разбира като нейното свойство да съществува в неизкривен вид. Наличностинформация се определя от способността на системата да осигури своевременен, безпрепятствен достъп до информация на субекти, които имат съответните правомощия за това. Правно значениеинформацията стана важна напоследък, заедно със създаването на нормативна база за информационна сигурност у нас.

Ако първите четири изисквания могат да бъдат изпълнени с технически средства, то изпълнението на последните две зависи както от техническите средства, така и от отговорността на лицата и организациите, както и от спазването на законите, които защитават потребителите от възможни измами от страна на продавачите.

Като част от осигуряването на цялостна информационна сигурност, на първо място е необходимо да се подчертае ключът проблеми в областта на електронната сигурност бизнес които включват:

защита на информацията при предаването й по комуникационни канали; защита на компютърни системи, бази данни и електронен документооборот;

осигуряване на дългосрочно съхранение на информация в електронен вид; осигуряване на сигурност на транзакциите, конфиденциалност на търговската информация, автентификация, защита на интелектуалната собственост и др.

Има няколко вида заплахи за електронна търговия:

 Проникване в системата отвън.

 Неоторизиран достъп в рамките на компанията.

 Умишлено прихващане и разчитане на информация.

 Умишлено прекъсване на данни или мрежи.

 Неправилна (за измамни цели) идентификация

потребител.

 Хакване на софтуерна и хардуерна защита.

 Неоторизиран потребителски достъп от една мрежа в друга.

 Вирусни атаки.

 Отказ от услуга.

 Финансова измама.

За противодействие на тези заплахи се използват редица методи, базирани на различни технологии, а именно: криптиране – кодиране на данни, което предотвратява тяхното четене или изкривяване; цифрови подписи, които удостоверяват самоличността на подателя и получателя; стелт технологии, използващи електронни ключове; защитни стени; виртуални и частни мрежи.

Никой метод за защита не е универсален; например защитните стени не проверяват за вируси и не са в състояние да гарантират целостта на данните. Няма абсолютно надежден начин за противодействие на хакването на автоматичната защита и е само въпрос на време тя да бъде хакната. Но времето, необходимо за прекъсване на такава защита, от своя страна зависи от нейното качество. Трябва да се каже, че софтуерът и хардуерът за защита на връзките и приложенията в Интернет са разработени дълго време, въпреки че новите технологии се въвеждат малко неравномерно.

Който заплахи чакат компания за електронна търговия на всеки етап :

 подмяна на уеб страницата на сървъра на електронния магазин (пренасочване на заявки към друг сървър), предоставяне на информация за клиента, особено за неговите кредитни карти, на трети лица;

 създаване на фалшиви поръчки и различни форми на измама от страна на служители на електронен магазин, например манипулиране на бази данни (статистиката показва, че повече от половината компютърни инциденти са свързани с дейността на техните собствени служители);

 прихващане на данни, предавани през мрежи за електронна търговия;

 проникване на нападатели във вътрешната мрежа на компанията и компрометиране на компоненти на електронен магазин;

Подобни материали

Героизмът в съвременния свят
Презентации

Героизмът в съвременния свят

И той ще влезе в горяща колиба и ще спре препускащ кон. Ще спре препускащ кон, който е написал
Презентации

И той ще влезе в горяща колиба и ще спре препускащ кон. Ще спре препускащ кон, който е написал

Перфектната кралица майка
Презентации

Перфектната кралица майка