Студопедия

КАТЕГОРИИ:

АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника


Безопасность коммерческих сделок




Безопасность является ключевым вопросом при внедрении систем и форм электронной коммерции. С любой точки зрения безопасность означает снижение риска и защиту от неизвестности.

Безопасность электронной коммерции —состояние защищенности хозяйствующих субъектов, совершающих коммерческие операции на рынке с помощью технологий электронной коммерции от угроз материальных или иных потерь.

Обеспечение безопасности можно рассматривается как завершающий этап организации коммерческой деятельности с применением информационных технологий. От обеспеченности безопасности действующих субъектов во многом зависит как их деловая активность на рынке электронной коммерции, так и в целом перспективы развития электронной коммерции. Обеспечение безопасности предполагает проведение комплексных мероприятий, направленных, с одной стороны, на нейтрализацию или снижение негативного воздействия факторов-источников угроз для коммерческих операций на рынке электронной коммерции, а с другой – на усиление действия факторов, повышающих эффективность технологий электронной коммерции.

Сложность обеспечения безопасности заключается в том, что системы электронной коммерции с нарушенной защитой зачастую функционируют нормально.

Основной задачей безопасности является защита сети и выполняемых в ней операций. Защита сети означает, что линии связи и сети защищены от угрозы несанкционированного доступа посторонних лиц к информации. Задачи обеспечения безопасности сводятся к соблюдению:

· конфиденциальности или осведомленности о том, кто имеет право доступа к данным, а также обеспечению частного характера информации в сети. Для этого применяется шифрование ─математическая процедура шифрования данных таким образом, чтобы их не смог восстановить в исходном виде никто, кроме уполномоченного получателя. Математическая формула или алгоритм преобразуют предназначенные для этого данные в кодированное сообщение, а для расшифровки этого сообщения используют ключ. Согласно исследованию Forrester Research, большая часть затрат на защиту сети связана с шифрованием данных и укреплением брандмауэров;

· аутентификации (проверка того факта, что отправители или получатели сообщения являются именно теми лицами, за которых они себя выдают);

· целостности (недопущение случайного или намеренного изменения либо порчи информации как при передаче, так и при хранении);

· управления доступом (ограничение на использование ресурсов уполномоченными лицами);

· недопущения отрицания (гарантия того, что уполномоченное лицо не сможет отрицать факт отправки сообщения).

Прежде чем обеспечить безопасность, необходимо определить объект защиты. Для этого предприятия электронной коммерции должны принять во внимание следующие виды угроз или правонарушений:

· имеющие физический характер. Например, кража компьютерного оборудования, программного обеспечения, повреждение других материальных ценностей;

· связанные с заказом. Например, клиент может попытаться воспользоваться недействительной или украденной кредитной карточкой;

· носящие электронный характер. Например, взломщик может анализировать пакет информации, передаваемой по электронной почте. Еще одним примером может быть повреждение или уничтожение Web—сайта коммерческой организации, а также заражение вирусом всего интерфейса между коммерческим предприятием и потребителем.

Существуют и другие группы правонарушений, которые могут представлять угрозу для среды электронной коммерции. Некоторые злоумышленники нападают на Web—сайты довольно редко, поэтому обнаружить образовавшуюся брешь в системе защиты довольно сложно.

Объектом угроз на рынке электронной коммерции выступают сведения о составе, состоянии, деятельности субъекта хозяйствования. Угрозы прежде всего могут исходить от конкурентов, злоумышленников. Источники угроз при этом преследуют следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Таким образом, безопасность коммерческих операций, использующих в качестве инструмента проведения информационные сети, имеет в первую очередь отношение к защите информации.

Информационную безопасность можно определить как защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Угрозы, обеспечивающие отказ или неправильное функционирование систем электронной коммерции, можно разделить на четыре основные категории:

· нарушение конфиденциальности данных, принадлежащих коммерческому предприятию или потребителю. В результате информация становится доступной лицам, которые не должны ее знать или которым запрещен доступ к ней;

· утрата целостности данных. Информация может быть изменена или просто уничтожена;

· нарушение обслуживания. В результате действия злоумышленников коммерческая организация не может оказывать обычный набор услуг, что приведет к убыткам для организации и неудобствам для потребителей;

· потеря доверия клиента в результате незаконного вмешательства в файлы их личной информации или коммерческой организации, нечестности, просчетов в работе.

Каждая угроза может повлечь за собой определенный ущерб – моральный или материальный, а противодействие угрозе призвано снизить величину.

Для защиты от возможных угроз коммерческая организация должна принимать целый ряд мер. С учетом сложившейся практики обеспечения безопасности на рынке электронной коммерции выделяют следующие направления защиты информации:

· правовое (специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту на правовой основе);

· организационное (регламентация коммерческой деятельности и взаимоотношений исполнителей на нормативной основе);

· инженерно—техническое(использование технических средств).

Кроме того, защитные действия, ориентированные на обеспечение информационной безопасности, могут быть охарактеризованы целым рядом параметров, отражающих помимо направлений ориентацию на объекты защиты, характер угроз, способы действий, их распространенность, охват и масштабность.

Правовая защита информации ─ комплексный подход к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов страны.

Правовая защита информации как ресурса коммерческой деятельности признана на международном, государственном уровнях и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. В свою очередь на государственном уровне правовая защита регулируется государственными и ведомственными актами. Требования информационной безопасности должны автоматически включаться во все уровни законодательства.

Организационная защита ─ регламентирование производственной и коммерческой деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и появление внутренних и внешних угроз. В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направлены на обеспечение безопасности информации в конкретных условиях.

К важнейшим организационным мероприятиям относят:

· организацию режима и охраны, исключающую возможность несанкционированного проникновения на территорию и в помещение посторонних лиц; позволяющую контролировать соблюдение временного режима труда и требований на территории персоналом организации; поддерживающую надежный пропускной режим;

· организацию работы с сотрудниками (подбор и расстановка);

· организацию работы с документами, включая разработку, использование, учет, исполнение, хранение и уничтожение документированной информации;

· организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

· организацию работы по анализу возможных угроз конфиденциальной безопасности и выработке мер по обеспечению ее защиты;

· проведение систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

Одним из важнейших организационных мероприятий является создание специальных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Технические средства обеспечения безопасности электронной торговли по объектам их воздействия могут применяться для защиты людей, материальных средств, финансов, информации.

По функциональному назначению они подразделяются на:

1. Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышлен­ников на объекты защиты и к материальным носителям информации.

Физические средства защиты применяются для решения следующих задач: охрана оборудования, продукции, финансов, информации, а также осуществление контролируемого доступа к информации в электронной коммерции.

Системы контроля доступа используют идентификацию объекта для подтверждения его полномочий и разграничения доступа к ресурсам. Наибольшее распространение среди них получили атрибутные и персональные методы опознавания.

К атрибутным методам относятся средства подтверждения полномочий, такие как документы (паспорт, удостоверение), карты (фотокарточки, карты с магнитными, электронными, механическими идентификаторами) и другие средства (ключи, сигнальные элементы). Однако эти средства в значительной мере подвержены подделкам и мошенничеству.

Персональные методы — методы определения лица по его независимым показателям: отпечаткам пальцев, геометрии рук, особенностям глаз и др. Персональные характеристики могут быть статические и динамические. К последним относятся пульс, давление, речь, почерк.

2. Аппаратные средства — приборы, устройства, приспособления и дру­гие технические решения, используемые в интересах защиты информации. Их основная задача — обеспечение стойкой защиты информации от разглаше­ния, утечки и несанкционированного доступа. Они распространены доста­точно широко, однако из-за того, что они не обладают достаточной гибко­стью, часто теряют свои защитные свойства при раскрытии принципов действия и в дальнейшем не могут быть используемы.

Аппаратные средства защиты по функциональному назначению могут быть классифицированы на средства обнаружения, поиска и детальных измерений, средства активного и пассивного противодействия. Они применяются как на отдельных персональных компьютерах, так и на разных уровнях и участках сети: в центральных процессорах, в их оперативных запоминающих устройствах (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и др.

3. Программные средства, охватывающие специальные программы, про­граммные комплексы и системы защиты информации различного назначения в электронной коммерции. Они надежны и период их гарантированного ис­пользования без перепрограммирования значительно больше, чем аппарат­ных.

Программные средства защиты используются в электронной коммерции по следующим направлениям:

· защита информации от несанкционированного доступа путем аутентификации пользователей через использование паролей;

· защита информации и программ от копирования, которая предотвращает использование краденных ворованных копий ПО. Это средства, обеспечивающие выполнение программой своих функций только при опознании некоторого не копируемого элемента;

· защита информации и программ от вирусов при помощи антивирусов -программ, обнаруживающих и удаляющих вирусы. Такие программы могут быть специализированными (способными бороться только с уже написанны­ми вирусами: «Доктор Касперский», AIDS TEST) и универсальными, которые с помощью эвристического анализа могут обнаруживать примерно в 82% не­известные вирусы (Adinf, Dr. Web);

· программная защита каналов связи предполагает использование брандмауэров или межсетевых экранов. Для этого необходим набор компо­нентов: клиентский компьютер, имеющий доступ в Интернет; сервер элек­тронной торговли, на котором ведется каталог товаров и принимаются за­шифрованные запросы клиентов на покупку определенных товаров; средство для обеспечения взаимной конвертации протоколов Интернет и стандартных протоколов авторизации (например, протокол SET, обеспечивающий шифро­вание финансовой информации, абсолютную конфиденциальность, сохран­ность данных, аутентификацию счета владельца карточки и др.).

4. Криптографические средства — специальные математические и алгоритмические средства обеспечения безопасности информации, передаваемой по сетям связи, хранимой и обрабатываемой с использованием различных методов шифрования.

Криптографические средства защиты имеют очень важное значение в сфере электронной коммерции. Цель криптографии состоит в том, что сек­ретная или конфиденциальная информация может быть преобразована из по­нятной формы в непонятную (информация, передаваемая продавцом клиенту, цифровая подпись, номер счета электронной карточки клиента и т. д.).

Процесс преобразования открытого текста в зашифрованный называется шифрованием, а обратный процесс — расшифрованием. Для защиты коммерческой информации на международном рынке предлагаются различные технические устройства и комплекты профессиональной аппаратуры шифрования и криптозащиты.

5. Комбинированные средства представляют собой совокупную реализа­цию предыдущих.

Такое деление технических средств обеспечения безопасности электронной коммерции достаточно условно, так как на практике очень часто они используются и взаимодействуют в комплексе в виде программно-аппаратных модулей с широким использованием алгоритмов закрытия ин­формации.

Контрольные вопросы

1. Какие составляющие выделяют в организационном регулировании Интернета?

2. Какая организация формирует политику и практику Интернета и осуществляет наблюдения за другими организациями, связанными с вопросами сетевой политики?

3. Какие организации осуществляют техническую координацию Интернета?

4. Какие функции возложены на консорциум WЗС?

5. К чему сводится правовая квалификация электронных сообщений?

6. С какими усилиями был принят Типовой закон ЮНСИТРАЛ «Об электронной торговле»?

7. Какие нормативные документы в области электронной коммерции приняты Европейским союзом?

8. Какие приняты в Беларуси документы в области электронной коммерции?

9. В чем главное отличие электронного документа от бумажного?

10. Что понимается под безопасностью электронной коммерции?

11. Каким требованиям должна отвечать система защиты технологии электронной коммерции?

12. Какие виды правонарушений характерны для электронной коммерции?

13. Что такое информационная безопасность?

14. Какие выделяют направления обеспечения защиты информации?

15. К какому направлению обеспечения безопасности относятся программные средства?


Поделиться:

Дата добавления: 2015-01-29; просмотров: 173; Мы поможем в написании вашей работы!; Нарушение авторских прав





lektsii.com - Лекции.Ком - 2014-2024 год. (0.006 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты