Электронная коммерция: безопасность и риски

Для решения вопросов безопасности в компаниях электронной коммерции  используются протокол SSL и технология SET.

Протокол SSL – основной протокол, используемый для защиты данных, передаваемых по сети Интернет. Этот протокол основан на комбинации алгоритмов ассиметричного и симметричного шифрования. Он обеспечивает три основные функции: аутентификацию сервера, аутентификацию клиента и шифрованное соединение по протоколу SSL.

Протокол SET – протокол, используемый для трансакции между коммерческими банками и кредитными картами клиентов.

 

1. Риски и угрозы

 

Любой бизнес связан с рисками, возникающими вследствии конкуренции, воровства, неустойчивости общественных предпочтений, стихийных бедствий и  т.д. Однако, риски, связанные с электронной  коммерцией, свои особенности и источники, среди которых:

Взломщики.

Невозможность привлечения  компаньонов.

Отказы оборудования.

Сбои питания, коммуникационных линий или сети.

Зависимость от служб доставки.

Интенсивная конкуренция.

Ошибки программного обеспечения.

Изменения в политике и  налогообложении.

Ограниченная пропускная способность системы.

 

Взломщики

Наиболее популяризованная угроза электронной коммерции исходит  от компьютерных злоумышленников —  взломщиков. Любое предприятие подвержено угрозе нападения преступников, крупные  же предприятия электронной коммерции  привлекают внимание компьютерных взломщиков разного уровня квалификации.

Причины этого внимания различны. В одних случаях это просто "чисто спортивный интерес", в  других желание навредить, похитить деньги или бесплатно приобрести товар или услугу.

Безопасность сайта обеспечивается сочетанием следующих мер:

Резервное копирование важной информации.

Кадровая политика, позволяющая  привлекать к работе только добросовестных людей и стимулировать добросовестность персонала. Наиболее опасные попытки взлома, исходящие изнутри компании.

Использование программного обеспечения с возможностями  защиты данных и своевременное его  обновление.

Обучение персонала идентификации  целей и распознанию слабых мест системы.

Аудит и ведение журналов с целью обнаружения успешных и неудачных попыток взлома.

Как правило, взлом удается  по причине легко угадываемого пароля, распространенных ошибок в конфигурации и несвоевременного обновления версий программного обеспечения. Для защиты от неслишком изощренного взломщика достаточно принятия относительно простых мер. На крайний случай, всегда должна иметься резервная копия критичных данных.

 

Невозможность привлечения  компаньонов

Хотя атаки взломщиков вызывают наибольшие опасения, однако большинство неудач в области  электронной коммерции все же связано с традиционными экономическими факторами. Создание и маркетинг  крупного сайта электронной коммерции  требует немалых средств. Компании предпочитают краткосрочные инвестиции, предлагая немедленный рост числа  клиентов и доходов после утверждения  торговой марки на рынке.

Крах электронной коммерции  привел к разорению множество  компаний, которые специализировались только на ней.

 

Отказы оборудования

Совершенно очевидно, что  отказ важной части одного из компьютеров  компании, деятельность которой сосредоточена  в веб, может нанасти ей существенный ущерб.

Защита от простоя сайтов, работающих под высокой нагрузкой  или выполняющих важные функции, обеспечивается дублированием, благодаря  чему выход из строя любого компонента не сказывается на функциональность всей системы. Однако и здесь необходимо оценить потери от возможных простоев в сравнении с расходами на приобретение дополнительного оборудования.

Множество компьютеров, на которых  выполняются Apache, PHP и MySQL, относительно просты в настройке. Кроме того, механизм репликации MySQL позволяет выполнять  общую синхронизацию информации в базах данных. Тем не менее, большое  число компьютеров означает и  большие затраты на поддержание  оборудования, сетевой инфраструктуры и хостинга.

Сбои питания, коммуникационных линий, сети и службы доставки

Зависимость от Интернет означает зависимость от множества взаимосвязанных  поставщиков услуг, поэтому, если связь  с остальным миром вдруг обрывается, не остается ничего иного, как ждать  ее восстановления. Это же относится к перебоям в электропитании и забастовками или иными перебоям в электропитании и забастовками или иным перебоям в работе компании, занимающейся доставкой.

Располагая достаточным  бюджетом, можно иметь дело с несколькими  поставщиками услуг. Это влечет дополнительные расходы, однако обеспечивает бесперебойность работы в условиях отказа одного из них. От крайних перебоев в электропитании можно защищаться установкой источников бесперебойного питания.

 

Интенсивная конкуренция

В случае открытия киоска на улице оценка конкурентной среды  не составляет особого труда —  конкурентами будут все, кто торгует  тем же товаром в пределах видимости. В случае электронной коммерции  ситуация несколько сложнее.

В зависимости от расходов на доставку, а также учитывая колебания  курсов валют и различий в стоимости  рабочей силы, конкуренты могут располагаться  где угодно. Интернет — в высшей степени конкурентная и активно  развивающаяся среда. В популярных отраслях бизнеса новые конкуренты возникают почти ежедневно.

Риск, связанный с конкуренцией, с трудом поддается оценке. Здесь  наиболее верная стратегия — поддержка  современного уровня технологии.

 

Ошибки программного обеспечения

Когда коммерческая деятельность зависит от программного обеспечения, она уязвима к ошибкам в  этом программном обеспечении.

 

Вероятность критических  сбоев можно свести к минимуму за счет установки надежного программного обеспечения, nxfntkmyjuj тестирования после  каждого случая замены неисправного оборудования и применения формальных процедур тестирования. Очень важно  сопровождать тщательным тестированием  любые нововведения в систему.

Для уменьшения вреда, наносимого сбоями программного обеспечения, следует  своевременно создавать резервные  копии всех данных. При внесении каких-либо изменений необходимо сохранить  преждние конфигурации программ. Для  быстрого обнаружения возможных  неисправностей требуется вести  постоянный мониторинг системы.

 

Изменения в политике налогообложения

Во многих странах деятельность в сфере электронного бизнеса  не определена, либо недостаточно определена законодательно. Однако такое положение  не может сохраняться вечно, и  урегулирование вопроса приведет к  возникновению ряда проблем, способных  повлечь закрытие некоторых предприятий. К тому же всегда существует опасность повышения налогов.

Этих проблем избежать невозможно. В этой ситуации единственной разумной линией поведения будет  внимательное отслеживание ситуации и  приведение деятельности предприятия  в соответствии с законодательством. Следует также изучить возможность  лоббирования собственных интересов.

 

Ограниченная  пропускная способность системы

На этапе проектирования системы обязательно следует  просмотреть возможность ее роста. Успех неразрывно связан с нагрузками, поэтому система должна пускать  наращивание оборудования.

Ограниченного роста производительности можно достичь заменой оборудования, однако скорость даже самого совершенного компьютера имеет предел, поэтому  в программном обеспечении должна быть предусмотрена возможность  при достижении указанного предела  распределять нагрузку по нескольким системам. Например, система управления базами данных должна обеспечить одновременную обработку запросов от нескольких машин.

Наращивание системы не проходит безболезненно, однако своевременное  его планирование на этапе разработки позволяет предвидеть многие неприятности, связанные с увеличением количества клиентов, и заранее их предупреждать.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

Хотя подключение к  Интернету и предоставляет огромные выгоды из-за доступа к колоссальному  объёму информации, оно же является опасным для сайтов с низким уровнем  безопасности. Интернет страдает от серьёзных  проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования  хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми  к действиям злоумышленников.

 Организации должны  ответить на следующие вопросы,  чтобы правильно учесть возможные  последствия подключения к Интернету  в области безопасности:

Могут ли хакеры разрушить  внутренние системы?

Может ли быть скомпрометирована ( изменена или прочитана) важная информация организации при её передаче по Интернету?

Можно ли помешать работе организации?

 Всё это - важные  вопросы. Существует много технических  решений для борьбы с основными  проблемами безопасности Интернета.  Тем не менее, все они имеют  свою цену. Многие решения ограничивают  функциональность ради увеличения  безопасности. Другие требуют идти  на значительные компромиссы  в отношении лёгкости использования  Интернета. Третьи требуют вложения  значительных ресурсов - рабочего  времени для внедрения и поддержания  безопасности и денег для покупки  и сопровождения оборудования  и программ.

 Цель политики безопасности  для Интернета - принять решение  о том, как организация собирается  защищаться. Политика обычно состоит  из двух частей - общих принципов и конкретных правил работы (которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

 Правда, существует и  третий тип политики, который  встречается в литературе по  безопасности в Интернете. Это  - технический подход. В этой публикации  под техническим подходом будем  понимать анализ, который помогает  выполнять принципы и правила  политики. Он, в основном, слишком  техничен и сложен для понимания  руководством организации. Поэтому  он не может использоваться  так же широко, как политика. Тем  не менее, он обязателен при  описании возможных решений, определяющих  компромиссы, которые являются  необходимым элементом при описании  политики.

 Чтобы политика для  Интернета была эффективной, разработчики  политики должны понимать смысл  компромиссов, на которые им надо  будет пойти. Эта политика также  не должна противоречить другим  руководящим документам организации.  Данная публикация пытается дать  техническим специалистам информацию, которую им надо будет объяснить  разработчикам политики для Интернета.  Она содержит эскизный проект  политики, на основе которого  потом можно будет принять  конкретные технические решения. 

 Интернет - это важный  ресурс, который изменил стиль  деятельности многих людей и  организаций. Тем не менее,  Интернет страдает от серьёзных  и широко распространенных проблем  с безопасностью. Много организаций  было атаковано или зондировано  злоумышленниками, в результате  чего они понесли большие финансовые  потери и утратили свой престиж.  В некоторых случаях организации  были вынуждены временно отключиться  от Интернета и потратили значительные  средства на устранение проблем  с конфигурациями хостов и  сетей. Сайты, которые неосведомлены  или игнорируют эти проблемы, подвергают себя риску сетевой  атаки злоумышленниками. Даже те  сайты, которые внедрили у себя  меры по обеспечению безопасности, подвергаются тем же опасностям  из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.

 Фундаментальная проблема  состоит в том, что Интернет  при проектировании и не задумывался  как защищённая сеть. Некоторыми  его проблемами в текущей версии TCP/IP являются:

Лёгкость перехвата данных и фальсификации адресов машин  в сети - основная часть трафика  Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные  программы.