Hambaravi 29.10.2019
0 (0 hääled)

Infoturbe probleemid elektroonilises kaubanduses. Kaubandusettevõtete, jaekettide ja nende infrastruktuuri infoturbe tagamine

Artiklis käsitletakse e-kaubanduse süsteemide kaitset, peamisi haavatavusi, ohte ja kaitsemeetodeid.

  • E-kaubanduse olemus ja selle arengu tunnused Venemaal
  • Kaasaegne e-kaubanduse turg (autokaupade segmendi näitel)
  • Korterelamute kapitaalremondifondi moodustamise tõhustamine
  • Venemaal osutatavate avalike (omavalitsuste) teenuste kvaliteedi hindamise küsimuste õiguslik regulatsioon

Seni on probleeme ja küsimusi Venemaa e-kaubanduse sektoris rohkem kui vastuseid ja valmis skeeme ja lahendusi, mis praktikas töötavad. Võib öelda, et Venemaal kirjeldatakse ja paljastatakse e-kaubandust selle probleemsuse kaudu, samas kui läänes, eriti USA-s, läheb kirjeldus kogemuste ja saavutuste konteksti.

E-kaubanduse süsteem on kompleksne info- ja arveldussüsteem, mis põhineb infoturbe tehnoloogiatel ning sertifitseeritud organisatsioonilistel, tarkvaralistel ja tehnilistel lahendustel, mis tagavad elektroonilistes tehingutes osalejate suhtluse kõikides kaubandus-, hanke- ja muu äritegevuse etappides.

E-kaubandus on kauplemine kauba ostja ja müüja abiarvutite võrgu kaudu, e-kaubanduse subjektiks võib olla teenus, kinnisvara, pangatoode vms. E-kaubandus loob äriettevõtete korralduse uue vormi - virtuaalkauplused - ning pakub pidevalt konkurentsi mõjul virtuaalses kaupluses müügiks uusi kaupu ja teenuseid.

E-poodi ohustavad kõik sisemised ja kaugrünnakud, mis on omased igale hajutatud arvutisüsteemile, mis suhtleb avatud võrkude kaudu andmeid edastades. Mõlemad selles äriprotsessis osalejad on nende suhtes haavatavad ning rünnakute tõrjumise ja nende jälgimise osas kaitsetud.

Lisaks inforünnetele ja -ohtudele on e-kaubanduses palju rohkem haavatavust teisest aspektist, mis on rohkem seotud organisatsiooniliste, juriidiliste ja finantsprobleemidega ettevõtte kui terviku majandustegevuses. Seetõttu on integreeritud kaitsesüsteemi ülesehitamise probleemi lahendamiseks vaja terve rida organisatsioonilisi, seadusandlikke, füüsilisi ja tehnilisi meetmeid.

Võrgutehnoloogiate pidev areng pideva turvaanalüüsi puudumisel viib selleni, et aja jooksul võrgu turvalisus väheneb, ilmnevad uued arvestamata ohud ja süsteemi haavatavused. Adaptiivne võrguturve võimaldab pakkuda reaalajas kaitset, kohanedes pidevate muutustega infoinfrastruktuuris. See koosneb kolmest põhielemendist – turvaanalüüsi tehnoloogia, rünnete tuvastamise tehnoloogia ja riskijuhtimise tehnoloogia. Turvaanalüüsi tehnoloogiad on võimas meetod võrgu turvapoliitika analüüsimiseks ja rakendamiseks. Turvaanalüüsisüsteemid otsivad turvaauke, suurendades kontrollide arvu ja uurides kõiki selle tasemeid.

Mis tahes tarkvaral on teatud haavatavused, mis viivad rünnakute rakendamiseni. Nii e-kaubanduse süsteemi projekteerimise haavatavused (näiteks kaitsete puudumine) kui ka rakendamise ja konfiguratsiooni haavatavused. Viimased kaks turvaaukude tüüpi on kõige levinumad ja neid võib leida igas organisatsioonis. Kõik see võib viia mitmesuguste rünnete rakendamiseni, mille eesmärk on rikkuda töödeldavate andmete konfidentsiaalsust ja terviklikkust. Näiteks valib klient e-poe serveri kaudu toote või teenuse ja esitab tellimuse – e-poe veebiserveri lehte on võimalik asendada. Peamine rakendusmeetod on kasutajate päringute ümbersuunamine teise serverisse. Eriti ohtlik on see, kui klient maksab tellimuse eest on-line’is – eriliseks ohuks on kliendi krediitkaarti puudutava teabe pealtkuulamine.

Kõigis e-kaubanduse süsteemi toimimise etappides on võimalik tungida ettevõtte sisevõrku ja kompromiteerida elektroonikapoe komponente. Statistika kohaselt on enam kui pooled arvutijuhtumitest seotud nende enda töötajatega, sest nemad, nagu keegi teine, teavad kogu tööd "seestpoolt".

Iga infosüsteemi taseme jaoks on vaja oma kaitset.

Operatsioonisüsteemi (OS) kiht, mis vastutab DBMS-i ja rakendustarkvara teenindamise eest.

Võrgutasand on infosüsteemi sõlmede interaktsiooni eest vastutav tasand.

Need tasemed on eriti olulised. Väga ohtlik on see, kui ründaja on hankinud poe andmebaasi kasutajatunnuse ja parooli või need üle võrgu edastamise käigus kinni püüdnud või spetsiaalsete programmide abil üles korjanud. Vaja on turvatööriistu ja -mehhanisme, mis kiiresti ja täpselt tuvastavad ja blokeerivad võrgu teenuse keelamise rünnakud ja ka operatsioonisüsteemi rünnakud.

Praegu kasutatakse võrgu tasemel ruutereid ja tulemüüre ning OS-i tasemel sisseehitatud juurdepääsukontrolli tööriistu.

Andmebaasihaldussüsteemi (DBMS) tasand vastutab infosüsteemi andmete säilitamise ja töötlemise eest. Kaitsesüsteem peab töötama tõhusalt kõigil tasanditel, vastasel juhul suudab ründaja leida süsteemi haavatavused ja sooritada ründe elektroonikapoe ressurssidele. Siin saavad abiks turvaanalüüsi tööriistad ja turvaskannerid: need tööriistad suudavad avastada ja parandada sadadel hostidel palju turvaauke, sh. ja kaugjuhtimispult märkimisväärsete vahemaade jaoks.

Tehnoloogia, mis tagab elektroonilise kaubanduse turvalisuse, on krüptograafia. Krüptograafia on teadus meetoditest, algoritmidest, tarkvarast ja riistvarast teabe teisendamiseks, et varjata selle sisu, vältida muutmist või volitamata kasutamist. Kaasaegsed krüptoalgoritmid koos võimsate personaalarvutitega võimaldavad rakendada usaldusväärseid krüptimise, autentimise ja teabe terviklikkuse kontrollimise meetodeid.

Krüptograafia põhiülesanne on teabe krüpteerimine või kodeerimine, et kaitsta seda volitamata lugemise eest. Krüpteerimine tagab teabe konfidentsiaalsuse, mida kasutatakse e-kaubanduses edastatava sõnumi sisu saladuses hoidmiseks.

Krüpteerimine põhineb kahel kontseptsioonil: algoritmil ja võtmel. Krüptoalgoritm on matemaatiline protseduur, mille abil lihttekst teisendatakse krüptitud tekstiks. Krüptograafiline algoritm ise ei ole salajane ja on kõigile protsessis osalejatele teada, teatud algoritmi parameeter, mida nimetatakse võtmeks, on salajane.

Autentimise probleemi saab lahendada avaliku võtmega krüptograafiaga – asümmeetrilise krüptimisega. Sel juhul kasutatakse võtmepaare: avalikku ja privaatset. Avatud jagatakse kõigi korrespondentide vahel, isiklik on teada ainult omanikule. Mis tahes võtmega krüpteeritud sõnumeid saab dekrüpteerida ainult sama paari teise võtmega.

Peaaegu kõik krüpteerimissüsteemid põhinevad kahel krüptoalgoritmil: DES (Data Encryption Standard), mille IBM töötas välja eelmise sajandi 70ndate alguses ja mis on privaatvõtmega krüptimise ülemaailmne standard, ja RSA (nimetatud nimede järgi). autoritest - Rivest, Shamur, Adleman), mis võeti kasutusele 70ndate lõpus, on muutunud avaliku võtmega krüptimise standardiks, mis on eriti populaarne pangandustehnoloogias.

Elektrooniline digitaalallkiri on elektroonilise digitaalallkirja abil genereeritud märkide kogum, mis on elektroonilise dokumendi lahutamatu osa. Seega on EDS üksikisiku käsitsi kirjutatud allkirja analoog, mis on esitatud EDS-i privaatvõtme abil elektrooniliste andmete krüptograafilise teisendamise tulemusena saadud tähemärkide jadana, mis võimaldab avaliku võtme kasutajal tuvastada allkirja terviklikkuse ja muutumatuse. seda teavet, samuti EDS-i privaatvõtme omanikku.

Kahtlemata on e-kaubandusel Venemaal tulevikku. Veelgi enam, kaasaegsel äril ilma aktiivse Interneti kasutamiseta pole lihtsalt tulevikku.

Bibliograafia

  1. Gorshkov, V., Solovjov, A. Elektrooniline kaubandus ja riiklik julgeolek.Infokaitse [Tekst] / V. Gorshkov, A. Solovjov // Enesekindel nr 6.- 2003.
  2. Zubairova L.A., Šarafutdinov A.G. Info ja infosüsteemide kaitse [Tekst] / L. A. Zubairova, A. G. - 2016. - V. 1. Nr 46. Lk 12-15.
  3. Muratova, V.L., Šarafutdinov, A.G. Infoturve majandusvaldkonnas. [Tekst] / V. L. Muratova, A. G. Šarafutdinov // Majandus ja ühiskond. - 2015.- nr 6-1(19). lk 916-918.
  4. Sharafutdinov, A.G. Infotehnoloogiad kui kaasaegsete toimivate ettevõtete rutiin // Infotehnoloogiad kaasaegse inimese elus. IV rahvusvahelise teaduslik-praktilise konverentsi materjalid. Tegevtoimetaja: Zaraisky A. A., - 2014. - Lk 90-92.
Huvi e-kaubanduse vastu kasvab ja kasvab jätkuvalt. Venemaa ettevõtted püüavad müügimahus oma välismaistele kolleegidele järele jõuda. Nad viivad läbi e-kaubanduse teemalisi seminare ja konverentse, kirjutavad artikleid ja arvustusi. Erilist tähelepanu pööratakse elektrooniliste tehingute turvalisusele ja kaitsele. Ettevõtete jaoks on oluline kasutajate usaldus elektrooniliste tehingute vastu. Vaatame lühidalt Interneti kaudu toodete ja teenuste hankimise etappe.

Klient valib e-poe serveri kaudu toote või teenuse ja esitab tellimuse.

Tellimus sisestatakse kaupluse tellimuste andmebaasi. Toote või teenuse saadavust kontrollitakse keskse andmebaasi kaudu. Kui toode pole saadaval, teavitatakse klienti sellest. Olenevalt kaupluse tüübist võidakse tootepäring suunata teise lattu. Kui toode või teenus on saadaval, kinnitab klient makse ja tellimus sisestatakse andmebaasi. E-pood saadab kliendile tellimuse kinnituse. Enamasti on tellimuste ja kaupade saadavuse kontrollimiseks üks andmebaas. Klient tasub tellimuse eest internetis. Kaup toimetatakse kliendini.

Mõelge peamistele ohtudele, mis varitsevad ettevõtet igal etapil. Elektroonikapoe veebiserveri lehe asendamine. Peamine rakendusmeetod on kasutajate päringute ümbersuunamine teise serverisse. See viiakse läbi DNS-serverite tabelite või ruuterite tabelite kirjete asendamisega. See on eriti ohtlik, kui klient sisestab oma krediitkaardi numbri. E-poe töötajate valetellimuste loomine ja pettused. Andmebaasi tungimine ja tellimuste töötlemise protseduuride muutmine võimaldab andmebaasiga ebaseaduslikku manipuleerimist. Statistika järgi on üle poole arvutijuhtumitest seotud nende enda töötajatega. E-kaubanduse süsteemis edastatavate andmete pealtkuulamine. Eriti ohtlik on kliendi krediitkaarti puudutava teabe pealtkuulamine. Tungimine ettevõtte sisevõrku ja elektroonikapoe komponentide kompromiteerimine. Teenuse keelamise rünnakute rakendamine ja e-kaubandussaidi häirimine või keelamine.

Kõikide nende ohtude tagajärjel kaotab ettevõte klientide usalduse ja raha ebatäiuslikest tehingutest. Mõnel juhul võib selle ettevõtte krediitkaardinumbrite avaldamise eest kohtusse kaevata. Teenuse keelamise rünnakute korral kulutatakse ajutisi ja materiaalseid ressursse töövõime taastamiseks, et seadmeid välja vahetada. Andmete pealtkuulamine ei sõltu kasutatavast tarkvarast ja riistvarast, selle põhjuseks on IP-protokolli versiooni (v4) ebaturvalisus. Probleemi lahenduseks on krüptograafiliste tööriistade kasutamine või üleminek IP-protokolli kuuendale versioonile. Mõlemal juhul on omad probleemid. Esimesel juhul peab krüptograafia kasutamiseks olema vastava asutuse litsents. Teisel juhul tekivad organisatsioonilised probleemid. Võimalikud on veel mitmed ohud. E-kaubanduse sõlmede kättesaadavuse rikkumine ning elektroonikapoe tarkvara ja riistvara vale konfiguratsioon.

2. Kaitsemeetodid.

Kõik see viitab igakülgse kaitse vajadusele. Tõeline turvalisus piirdub sageli krüptograafia (40-bitine SSL-protokolli versioon) kasutamisega, et kaitsta teavet kliendi brauseri ja e-kaubanduse serveri ning ruuteri filtri vahel.

Integreeritud kaitsesüsteem tuleks üles ehitada, võttes arvesse iga infosüsteemi nelja taset. Kasutaja interaktsiooni eest vastutav rakendustarkvara (tarkvara) kiht. Selle taseme elementide näideteks on WinWordi tekstiredaktor, Exceli tabeliredaktor, Outlooki meiliprogramm ja Internet Exploreri brauser.

Andmebaasihaldussüsteemi (DBMS) tase, mis vastutab infosüsteemi andmete säilitamise ja töötlemise eest. Selle taseme elementide näideteks on Oracle DBMS, MS SQL Server, Sybase ja MS Access. Operatsioonisüsteemi (OS) kiht, mis vastutab DBMS-i ja rakendustarkvara teenindamise eest. Näiteks OS M S Windows NT, Sun Solaris, Novell Netware. Infosüsteemi sõlmede interaktsiooni eest vastutav võrgutasand. Näiteks TCP/IP, IPS/SPX ja SMB/NetBIOS protokollid.

Kaitsesüsteem peab tõhusalt toimima kõigil tasanditel. Vastasel juhul saab ründaja rünnata elektroonilise poe ressursse. Ohtlikud on nii välised kui ka sisemised rünnakud. Statistika järgi tuleneb peamine oht elektroonikapoe sisekasutajatest (süsteemihalduritest). Andmebaasi tellimuste teabele volitamata juurdepääsu saamiseks on saadaval järgmised valikud. Andmebaasikirjete lugemine MS Queryst, mis võimaldab ODBC mehhanismi või SQL päringute abil ligi pääseda paljude DBMS-ide kirjetele Lugege vajalikke andmeid kasutades DBMS-i ennast (DBMS-i tase). Loe andmebaasifaile otse operatsioonisüsteemi tasemel. Saada pakette üle võrgu koos genereeritud päringutega, et saada DBMS-ist vajalikud andmed. Või püüdke need andmed kinni sidekanalite kaudu edastamise protsessis (võrgutasand).

Tavaliselt keskendutakse kahele alumisele kihile – võrgukihile ja operatsioonisüsteemikihile. Võrgutasandil kasutatakse ruutereid ja tulemüüre. OS-i tasemel - sisseehitatud juurdepääsukontrolli tööriistad. Sellest ei piisa. Kujutagem ette, et ründaja sai poe andmebaasi kasutaja kasutajatunnuse ja parooli. Ta kas püüdis need kinni võrgu kaudu edastamise ajal või võttis need üles spetsiaalsete programmide abil. Nii tulemüür kui ka operatsioonisüsteem võimaldavad ründajal volitatud kasutaja esitatud identiteedi ja parooli tõttu juurdepääsu kõigile ressurssidele. See on ekraani ja süsteemi toimimise funktsioon.

Vajame uusi kaitsevahendeid ja -mehhanisme. Sissetungi tuvastamise tööriistad saavad praegu kogu maailmas palju tähelepanu. Tuntud ettevõtete prognooside kohaselt ulatub nende fondide müük 2003. aastal 900 miljoni dollarini. Need tööriistad toimivad võrdselt tõhusalt nii võrgu sees kui ka väljaspool, kaitstes väliste volitamata mõjude eest.

Need tööriistad võimaldavad teil õigeaegselt tuvastada ja blokeerida võrgu teenuse keelamise rünnakud, mille eesmärk on häirida elektroonikapoe tööd. Üks näide sissetungimise tuvastamise tööriistast on RealSecure süsteem, mille on välja töötanud Internet Security Systems, Inc.

Mis tahes tarkvaral on teatud haavatavused, mis viivad rünnakute rakendamiseni. Nii e-kaubanduse süsteemi projekteerimise haavatavused (nt kaitsete puudumine) kui ka rakendamise ja konfiguratsiooni haavatavused. Viimased kaks turvaaukude tüüpi on kõige levinumad ja neid võib leida igas organisatsioonis. Loetleme mõned näited. Puhvri ületäitumise viga Microsofti ja Netscape'i brauserites, IMAP-deemoni ja sendmaili rakendusviga, tühjade paroolide ja alla 6 tähemärgi pikkuste paroolide kasutamine, töötavad, kuid kasutamata teenused, nagu Telnet. Kõik see võib viia mitmesuguste rünnete rakendamiseni, mille eesmärk on rikkuda töödeldavate andmete konfidentsiaalsust ja terviklikkust.

Infosüsteemide haavatavused on vaja õigeaegselt avastada ja kõrvaldada kõigil tasanditel. Abiks on turvaanalüüsi tööriistad ja turvaskannerid. Need tööriistad suudavad tuvastada ja parandada sadadel hostidel palju turvaauke, sh. ja kaugjuhtimispult märkimisväärsete vahemaade jaoks. Internet Security Systems on ka selles valdkonnas oma SAFEsuite'i perekonnaga teejuhiks. Süsteem sisaldab turvaaukude otsimise funktsioone, mis töötavad kõigil neljal tasemel – Interneti-skanner, System Scanner ja Database Scanner. Erinevate kaitsevahendite kombineeritud kasutamine kõigil tasanditel võimaldab luua usaldusväärse e-kaubanduse infoturbesüsteemi. Selline süsteem on kasulik nii kasutajatele kui ka teenusepakkuja ettevõtte töötajatele.

See vähendab elektroonikapoe komponentidele ja ressurssidele suunatud rünnakutest tulenevat võimalikku kahju.

Soovitatav on kasutada täiendavaid turvameetmeid. Sellised tööriistad võivad olla nii vabalt levitatavad kui ka kaubanduslikud tooted. Milline neist vahenditest on parem, otsustage igal juhul omal moel. Kui kaitsevahendite ostmiseks raha napib, tuleb tähelepanu pöörata vabadele vahenditele. Selliste tööriistade kasutamine on aga seotud ebakvaliteetse kaitse ja tehnilise toe puudumisega. Vene kaubanduslikest tööriistadest, mis rakendavad suurt hulka kaitsefunktsioone, võime nimetada ettevõtte Informzaschita välja töötatud SecretNeti perekonna süsteemid. Üldiselt on tervikliku kaitsesüsteemi ehitamise probleemi puhttehniliste vahenditega võimatu lahendada. Vaja on organisatsiooniliste, seadusandlike, füüsiliste ja tehniliste meetmete kompleksi.

Organisatsioonid kasutavad turvaprobleemide lahendamiseks sageli osalisi lähenemisviise. Need lähenemisviisid põhinevad nende tajumisel turvariskidest. Turvaadministraatorid kalduvad reageerima ainult neile riskidele, millest nad aru saavad. Tegelikult võib selliseid riske olla rohkem. Administraatorid mõistavad süsteemiressursside väärkasutamise ja väliste rünnakute võimalikkust, kuid on sageli halvasti teadlikud võrkude tegelikest haavatavustest. Infotehnoloogia pidev areng tekitab mitmeid uusi probleeme. Tõhus turvasüsteem nõuab funktsioonide täitmiseks hästi koolitatud personali. See järgib standardiseeritud lähenemist turvalisusele, rakendab protseduure ja tehnilisi kaitsevahendeid ning jälgib pidevalt auditi alamsüsteeme, mis pakuvad potentsiaalsete rünnete analüüsi.

Võrgutehnoloogiate pidev areng pideva turvaanalüüsi puudumisel viib selleni, et aja jooksul võrgu turvalisus väheneb. Ilmuvad uued arvestamata ohud ja süsteemi haavatavused. On olemas kontseptsioon - adaptiivne võrguturve. See võimaldab pakkuda reaalajas kaitset, kohanedes pidevate muutustega infoinfrastruktuuris. See koosneb kolmest põhielemendist – turvaanalüüsi tehnoloogia, rünnete tuvastamise tehnoloogia, riskijuhtimise tehnoloogia. Turvaanalüüsi tehnoloogiad on võimas meetod võrgu turvapoliitika analüüsimiseks ja rakendamiseks. Turvaanalüüsisüsteemid otsivad turvaauke, kuid suurendavad kontrollide arvu ja uurivad kõiki selle tasemeid. Rünnakute tuvastamine - ettevõtte võrgus toimuvate kahtlaste tegevuste hindamine. Rünnakute tuvastamine toimub operatsioonisüsteemi ja rakendustarkvara logide ning reaalajas võrguliikluse analüüsimise teel. Sõlmedele või võrgusegmentidele paigutatud sissetungimise tuvastamise komponendid hindavad erinevaid toiminguid.

Erilise ja levinuima tuvastamissüsteemide kasutamise juhtumina võib tuua olukorra modemite kontrollimatu kasutamisega. Turvaanalüüsisüsteemid suudavad selliseid modemeid tuvastada ning sissetungimise tuvastamise süsteemid tuvastavad ja takistavad nende kaudu tehtud volitamata toiminguid. Sarnaselt turbeanalüüsi tööriistadele toimivad ka sissetungimise tuvastamise tööriistad ettevõtte võrgu kõigil tasanditel. Näitena võib tuua ka ISS-i kui sissetungituvastuse ja turvaanalüüsi valdkonna liidri arendused.

3. Krüpteerimine ja digitaalallkiri.

Krüpteerimisprotseduuri kasutades teisendab sõnumi saatja selle lihtsast sõnumist märkide komplektiks, mida ei saa lugeda ilma adressaadile teadaoleva spetsiaalse võtmeta. Sõnumi saaja teisendab klahvi abil talle edastatud märgistiku tagasi tekstiks. Tavaliselt on krüpteerimisalgoritmid teada ja need pole saladus. Krüpteeritud teabe edastamise ja säilitamise konfidentsiaalsus on tagatud võtme konfidentsiaalsusega. Turvalisuse aste sõltub krüpteerimisalgoritmist ja võtme pikkusest, mõõdetuna bittides. Mida pikem on võti, seda parem on kaitse, kuid seda rohkem tuleb teha arvutusi andmete krüpteerimiseks ja dekrüpteerimiseks. Peamised krüpteerimisalgoritmide tüübid on sümmeetrilised ja asümmeetrilised. Sümmeetrilised krüpteerimismeetodid on mugavad selle poolest, et andmeedastuse kõrge turvalisuse tagamiseks ei ole vaja luua pikki võtmeid. See võimaldab kiiresti krüpteerida ja dekrüpteerida suuri teabekoguseid. Samal ajal on nii teabe saatjal kui ka vastuvõtjal sama võti, mis muudab saatja autentimise võimatuks. Lisaks peavad osapooled sümmeetrilise algoritmi kasutamise alustamiseks turvaliselt vahetama salajase võtme, mida on lihtne isiklikult teha, kuid vajadusel väga keeruline võtit mis tahes sidevahendi kaudu üle kanda. Sümmeetrilise krüpteerimisalgoritmi tööskeem koosneb järgmistest sammudest. Pooled paigaldavad oma arvutitesse tarkvara, mis tagab andmete krüptimise ja dekrüpteerimise ning salajaste võtmete esmase genereerimise.

Salajane võti genereeritakse ja jagatakse teabevahetuses osalejate vahel. Mõnikord koostatakse ühekordsete võtmete loend. Sel juhul kasutatakse iga teabeedastuse seansi jaoks unikaalset võtit. Samal ajal teatab saatja iga seansi alguses saajale võtme seerianumbri, mille ta selles sõnumis kasutas. Saatja krüpteerib informatsiooni, kasutades installitud tarkvara, mis rakendab sümmeetrilist krüpteerimisalgoritmi, krüpteeritud teave edastatakse adressaadile sidekanalite kaudu. Saaja dekrüpteerib teabe, kasutades sama võtit kui saatja. Vaatame üle mõned sümmeetrilised krüpteerimisalgoritmid.

DES (andmete krüptimise standard). IBMi poolt välja töötatud ja laialdaselt kasutatav alates 1977. aastast. See on nüüdseks mõnevõrra vananenud, kuna selles kasutatav võtme pikkus ei ole piisav, et tagada kõigi võimalike võtmeväärtuste ammendava otsimisega rünnakukindlus.

Kolmekordne DES. See on DES-i täiustus, mis kasutab DES-algoritmi kolmekordseks krüptimiseks erinevate võtmetega. See on häkkimise suhtes palju vastupidavam kui DES. Rijndael. Algoritm töötati välja Belgias. Töötab 128-, 192- ja 256-bitiste võtmetega. Hetkel krüptoekspertidel selle kohta pretensioone pole. Vöötraud. Algoritmi lõi ja kasutas USA riiklik julgeolekuagentuur. Võtme pikkus on 80 bitti. Teabe krüpteerimine ja dekrüpteerimine toimub tsükliliselt (32 tsüklit). IDEE. Algoritm on patenteeritud USA-s ja mitmes Euroopa riigis. Patendiomanik on Ascom-Tech. Algoritm kasutab tsüklilist teabetöötlust (8 tsüklit), rakendades sellele mitmeid matemaatilisi tehteid. RC4. Algoritm on spetsiaalselt loodud suure hulga teabe kiireks krüptimiseks. See kasutab muutuva pikkusega võtit (olenevalt nõutavast teabeturbeastmest) ja töötab palju kiiremini kui teised algoritmid. RC4 kuulub nn voošifrite hulka.

Elektrooniline digitaalallkiri (EDS) on käsitsi kirjutatud allkirja elektrooniline vaste. EDS-i eesmärk on mitte ainult sõnumi saatja autentimine, vaid ka selle terviklikkuse kontrollimine. EDS-i kasutamisel kasutatakse sõnumi saatja autentimiseks avalikku ja privaatvõtit. Protseduur sarnaneb asümmeetrilise krüptimise korral läbiviidavaga, kuid sel juhul kasutatakse krüptimiseks privaatvõtit ja dekrüpteerimiseks avalikku võtit.

EDS-i rakendusalgoritm koosneb mitmest toimingust. Tekib paar võtmeid – avalik ja privaatne. Avalik võti antakse üle huvitatud poolele (võtmed genereerinud osapoole poolt allkirjastatud dokumentide saajale). Sõnumi saatja krüpteerib selle oma privaatvõtmega ja saadab selle sidekanalite kaudu adressaadile. Saaja dekrüpteerib kirja saatja avaliku võtmega.

Üleriigilise ajakirjanduse materjalide järgi.

Turvalisus - kaitseseisund võimalike kahjustuste eest, võime ohjeldada või tõrjuda ohtlikke mõjusid, samuti kahju kiiresti hüvitada. Turvalisus tähendab, et süsteem säilitab stabiilsuse, jätkusuutlikkuse ja enesearengu võimaluse. Üks populaarsemaid aruteluteemasid on e-kaubanduse turvalisus.

Kuid siiani pole kõigist väärtuslikest arvamustest ja väidetest hoolimata praktilist, "maist" juhendit selle kohta, mis on endiselt e-kaubanduse turvalisuse teema. Käesolevas artiklis tuuakse välja mõned seisukohad selles küsimuses ning püütakse müüte tegelikkusest eraldada. Proovime vastata mõnele põhiküsimusele, mis on asjatundjatele ilmselged.

Süsteeme saab muuta turvaliseks. Süsteeme saab kaitsta ainult teadaolevate ohtude eest, kusjuures nendega seotud riskid on vähendatud vastuvõetava tasemeni. Ainult teie saate määrata õige tasakaalu soovitud riski vähendamise taseme ja lahenduse maksumuse vahel. Turvalisus üldiselt on üks riskijuhtimise aspekte. Ja infoturve on kombinatsioon tervest mõistusest, äririskide juhtimisest ja elementaarsetest tehnilistest oskustest korraliku juhtimise kontrolli all, spetsialiseeritud toodete, võimaluste ja teadmiste mõistlikust kasutamisest ning õigetest arendustehnoloogiatest. Samal ajal on veebisait vaid vahend tarbijani teabe edastamiseks.

Veebisaidi turvalisus on puhtalt tehniline küsimus. Liiga sageli seisneb turvalisus pigem õiges kontrollis arendusprotsessi üle, operatsioonisüsteemi konfiguratsiooni nõuetekohases haldamises ja üldises järjepidevas saidihalduses. Tõeline turvalisus on teie otsese kontrolli all – see, mis on sisemiste süsteemide arendamisel vastuvõetav, ei pruugi sobida täielikult jagatud teenuste jaoks. Süsteemiprobleemid, mis puudutavad ettevõttes vaid mõnda usaldusväärset töötajat, ilmnevad jagatud keskkondadesse liikumisel.

Meedia kajastab regulaarselt kõiki turvanõrkusi ja -riske. Sageli kajastatakse meedias vaid neid probleeme, mis võivad köita kõigi tähelepanu ja ei nõua erilisi oskusi, et mõista neile omast probleemi. Need sõnumid kajastavad harva ettevõtte tegelikke turvaohte ega ole sageli üldse turvalisusega seotud.

Krediitkaarditeave Internetis pole turvaline. Tegelikult on krediitkaarditeabe varastamine Interneti kaudu palju väiksem kui lähedal asuvas poes või restoranis. Korramatu ettevõtja võib olla huvitatud sellise teabe volitamata kasutamisest ja see, kuidas te sellega töötate - Interneti kaudu või mitte - pole enam nii oluline. Edastatava teabe turvalisust on võimalik tõsta turvaliste edastuskanalite ja usaldusväärsete veebilehtede abil. Paljude e-kaubandussüsteemide oluline komponent on vajadus usaldusväärse tarbija tuvastamise järele. Tuvastamismeetod ei mõjuta otseselt mitte ainult riskiastet, vaid isegi kriminaalvastutusele võtmise liiki.

Paroolid tuvastavad inimesi. Paroolid tagavad ainult põhikontrolli – kas keegi, kes on volitatud teatud süsteemi kasutama, loob ühenduse. Inimesed ei varja oma paroole liiga palju teiste eest – eriti lähisugulaste ja kolleegide eest. Keerulisem autentimistehnoloogia võib olla palju kulutõhusam. Kasutatav autentimistase peaks kajastama volitamata isikute juurdepääsu ohtu teabele, olenemata selle tegeliku omaniku nõusolekust.

Pärast konfigureerimist ja installimist jääb turvalahendus aja jooksul usaldusväärseks. Ettevõtted ei installi alati süsteeme nii, nagu nad peaksid, ärimuutused ja ka ohud. Peate jälgima, et süsteemid säilitaksid turvaprofiile ning teie profiili hinnatakse pidevalt ümber nii äriarenduse kui ka väliskeskkonna seisukohalt. Sama oluline on tehnoloogia, kuid seda tuleb vaadelda osana laiemast turvakontrollist. Tulemüüre nimetatakse tavaliselt lahenduseks e-kaubanduse saitide sisu kaitsmiseks, kuid isegi neil on oma nõrkused.

Tulemüürid on läbimatud. Tulemüüri juurutades võite loorberitele puhkama jääda teadmises, et sissetungijad ei murra sellest kunagi läbi. Probleem on selles, et need peavad olema seadistatud nii, et osa liiklusest ikka läbi liiguks ja seda mõlemas suunas. Peate hoolikalt läbi mõtlema, mida kaitsta üritate. Rünnaku vältimine teie saidi avalehe vastu erineb oluliselt teie veebiserveri kasutamise takistamisest teie taustasüsteemideni ning tulemüüri nõuded on mõlemal juhul väga erinevad. Paljud süsteemid nõuavad keerulist kihilist turvalisust tagamaks, et ainult volitatud kasutajatel on juurdepääs tundlikumatele andmetele. Meil on igal e-kaubandussaidil võtmeroll. Siiski toob see endaga kaasa mitmeid turvaprobleeme, mida ei tohiks eirata. Need probleemid jagunevad kahte põhikategooriasse.
Meili sisu kaitse – seda saab moonutada või lugeda.
Kaitske oma süsteemi sissetulevate meilirünnakute eest.
Kui kavatsete töötada konfidentsiaalse või terviklikkuse suhtes tundliku meiliteabega, on selle kaitsmiseks palju tooteid.

Viirused pole enam probleemiks. Viirused kujutavad endast endiselt tõsist ohtu. Viiruste loojate viimaseks hobiks on kirjadele lisatud failid, mille avamisel käivitatakse makro, mis teeb adressaadi poolt volitamata toiminguid. Kuid arendatakse ka teisi viiruste levitamise viise – näiteks HTML-i veebilehtede kaudu. Peate veenduma, et teie viirusetõrjetooted on ajakohased. Kui need olid mõeldud viiruste otsimiseks, võib selguda, et need suudavad viirusi ainult tuvastada, kuid mitte neid kõrvaldada.

Ettevõte, millel on maineka sertifitseerimisasutuse (CA) avaliku võtme sertifikaat, on ise usaldusväärne. Sertifikaat tähendab lihtsalt midagi sellist: "Sertifikaadi taotlemise ajal võtsin mina, CA, teadaolevad sammud selle ettevõtte identiteedi kontrollimiseks. Võite sellega rahul olla, aga ei pruugi. Ma ei ole selle ettevõttega tuttav ja ei tea, kas neid saab usaldada, ja isegi - mis tema äri täpsemalt on. Kuni mulle ei teata, et avalik võti on sattunud ohtu, ei tea ma isegi, et see on näiteks varastatud või kellelegi teisele antud , ja teie ülesanne on kontrollida, kas minu vastutus ei piirdu minu ettevõtte poliitikaavalduse tingimustega, mida peaksite enne selle ettevõttega seotud võtmete kasutamist lugema.

Digitaalallkirjad on käsitsi kirjutatud allkirjade elektrooniline vaste. On mõningaid sarnasusi, kuid on palju väga olulisi erinevusi, mistõttu on ebamõistlik pidada neid kahte tüüpi allkirjade ekvivalente. Nende usaldusväärsus sõltub ka sellest, kui täpselt on kindlaks tehtud, et privaatvõti on tegelikult isiklikus kasutuses. Peamised erinevused on ka järgmised:
- Käsitsi kirjutatud allkirjad on täielikult allkirjastaja kontrolli all, samas kui digitaalallkirjade loomisel kasutatakse arvutit ja tarkvara, mis võivad, kuid ei pruugi töötada nii, et seda saab usaldada.
- Erinevalt digiallkirjadest on käsitsi kirjutatud allkirjadel originaal, mida saab kopeerida.
- Käsitsi kirjutatud allkirjad ei ole liiga tihedalt seotud sellega, mida nad allkirjastavad, allkirjastatud paberite sisu saab pärast allkirjastamist muuta. Digitaalallkirjad on keeruliselt seotud allkirjastatavate andmete konkreetse sisuga.
- Erinevalt privaatvõtmest ei saa käsitsi kirjutatud allkirja andmise võimalust varastada.
- Käsitsi kirjutatud allkirju saab kopeerida erineva sarnasusastmega ning digitaalallkirjade koopiaid saab luua ainult varastatud võtmeid kasutades ja samal ajal omada võtme tegeliku omaniku allkirja sajaprotsendilist identsust.
- Mõned autentimisprotokollid nõuavad andmete digitaalset allkirjastamist teie nimel ja te ei saa kunagi teada, millele allkirjastati. Teid võidakse sundida peaaegu kõigele digiallkirja andma.

Turvatooteid saab hinnata nende funktsionaalsuse järgi, nagu ka äripakette. Need nõuavad ka nende rakendamise turvalisuse hindamist ja nende ohtude hindamist, mille eest nad ei saa kaitsta (mida ei pruugita dokumenteerida). Üldjuhul valitakse ärirakendused nende funktsionaalsuse ja kasutusmugavuse järgi. Sageli peetakse iseenesestmõistetavaks, et funktsioonid toimivad ootuspäraselt (näiteks maksuarvestuse pakett arvestab maksud õigesti). Kuid see pole turvatoodete suhtes õiglane. Suurim küsimus on siin see, kuidas nendes kaitsefunktsioone rakendatakse. Näiteks võib pakett pakkuda kasutajatele tugevat parooliautentimist, kuid salvestada paroolid lihttekstifaili, mida saavad lugeda peaaegu kõik. Ja see poleks üldse ilmne ja võib tekitada vale turvatunde.

Turvatooteid on lihtne paigaldada. Enamikul toodetel on vaikeseaded. Organisatsioonidel on aga erinevad poliitikad ja turvalisus ning kõikide süsteemide ja tööjaamade konfiguratsioonid ühtivad harva. Praktikas peab installimine olema kohandatud organisatsiooni turbepoliitika ja iga konkreetse platvormi konfiguratsiooniga. Kiiresti kasvava kasutajate arvu teenindamise mehhanismide ja muude sadade olemasolevate kasutajate jaoks turvalise keskkonna loomise atribuutide testimine võib olla väga keeruline ja pikk protsess.

PKI tooted kindlustavad e-kaubanduse karbist välja. PKI tooted on põhiline tööriistakomplekt, mis aitab turvalahendusi juurutada, kuid ainult osana paketist, mis sisaldab ka juriidilisi, protseduurilisi ja muid tehnilisi elemente. Praktikas on see sageli palju keerulisem ja kulukam kui põhilise PKI seadistamine.

Turvakonsultandid väärivad absoluutset usaldust. Pidage meeles, et turvakonsultantidel on juurdepääs kõigile teie kõige tundlikumatele protsessidele ja andmetele. Kui kutsutavad konsultandid ei tööta mainekas firmas, on vaja hankida nende pädevuse ja kogemuste kohta teavet mittehuvitavast allikast – näiteks endiste klientidega vesteldes. On palju konsultante, kes väidavad end olevat infoturbe valdkonna professionaalid, kuid tegelikult ei tea, mis see on. Nad võivad isegi luua vale turvatunde, veendes teid, et teie süsteemid on turvalisemad, kui nad tegelikult on.

Järeldused.

Niisiis, enne kõige ajakohasemate ohutusbrošüüride sirvimist, selgitage välja peamised punktid:
- Kaaluge hoolikalt, mis tüüpi riske teie e-kaubandust ohustavad ja kui palju need teile maksma läheksid, ning ärge kulutage kaitsele rohkem kui see hinnanguline riskikulu.
- Säilitada tasakaal protseduuriliste ja tehniliste turvakontrollide vahel.
- Töötage välja terviklik projekt, mille üks põhikomponente on turvalisus, mitte tagantjärele pärast mõningast mõtlemist.
- Valige selle projektiga sobivad turbetooted.

Sissejuhatus …………………………………………………………………………..…3
1. Elektrooniline kaubandus ja selle arengulugu………………………………………………………………..5
1.1. E-kaubanduse ajalugu………………………………………………6
2. E-kaubanduse turvalisus…………………………………………..8
2.1. Riskid ja ohud…………………………………………………………….…… ...11
Järeldus……………………………………………………………………………….17
Kasutatud kirjanduse loetelu…………………………………………… 20

Sissejuhatus

Internet on muutnud e-kaubanduse kättesaadavaks igas suuruses ettevõtetele. Kui varem nõudis elektroonilise andmevahetuse korraldamine märkimisväärseid investeeringuid sideinfrastruktuuri ja oli ainult suurettevõtete õlul, siis tänapäeval võimaldab Interneti kasutamine väikefirmadel liituda "elektroonikakauplejate" ridadega. Poe esikülg veebis annab igale ettevõttele võimaluse meelitada ligi kliente üle kogu maailma. Selline on-line äri moodustab uue müügikanali - "virtuaalse", mis ei nõua peaaegu mingeid materiaalseid investeeringuid. Kui teavet, teenuseid või tooteid (nt tarkvara) on võimalik edastada veebi kaudu, võib kogu müügiprotsess (sh tasumine) toimuda veebis.
E-kaubanduse definitsiooni alla ei kuulu mitte ainult internetile orienteeritud süsteemid, vaid ka "elektroonikakauplused", mis kasutavad teisi suhtlusmeediat – BBS, VAN jne. Samas saab e-kaubanduseks liigitada vaid osaliselt WWW-st pärit info põhjal algatatud müügitoimingud, mis kasutavad andmevahetuseks faksi, telefoni vms. Samuti märgime, et hoolimata asjaolust, et WWW on elektroonilise kaubanduse tehnoloogiline alus, kasutavad mitmed süsteemid muid sidevõimalusi. Seega saab müüjale sooviavaldusi kauba parameetrite täpsustamiseks või tellimuse vormistamiseks saata ka e-posti teel.
Siiani on veebipõhiste ostude puhul domineerivaks maksevahendiks krediitkaardid. Kuid mängudele tulevad ka uued maksevahendid: kiipkaardid, digitaalne sularaha, mikromaksed ja elektroonilised tšekid.
E-kaubandus ei hõlma ainult veebipõhiseid tehinguid. Antud kontseptsiooniga hõlmatud valdkond peaks hõlmama ka selliseid tegevusi nagu turundusuuringute läbiviimine, võimaluste ja partnerite väljaselgitamine, suhete hoidmine tarnijate ja tarbijatega, dokumendihalduse korraldamine jne. Seega on e-kaubandus kompleksne mõiste ja hõlmab elektroonilist andmevahetust ühena. komponentidest.

    E-kaubandus ja selle kujunemislugu
E-kaubandus on majandustegevuse liik, mille eesmärk on kaupade ja teenuste reklaamimine tootjalt tarbijale elektrooniliste arvutivõrkude kaudu. Teisisõnu, e-kaubandus on kaupade ja teenuste turundus, ost ja müük arvutivõrkude, peamiselt Interneti kaudu. E-kaubandus annab uusi võimalusi äritegevuse tõhustamiseks üldiselt.
Erinevalt traditsioonilisest kaubandusest pakub e-kaubandus ettevõtetele järgmisi võimalusi:
A) müüa oma tooteid Interneti kaudu;
B) arendada ja koordineerida suhteid klientide ja tarnijatega;
C) vahetada kaupu ja teenuseid elektrooniliselt;
D) alandada digitaalsete toodete kohaletoimetamise ja müügijärgse klienditoe hinda;
D) reageerida kiiresti turumuutustele;
E) Vähendada üldkulusid;
G) parandada klienditeenindust ja juurutada oma teenuseid klientidele;
H) Tarbijate ringi laiendamine;
i) võtma arvesse ostja individuaalseid vajadusi;
E-kaubandus võimaldab ostjatel:
a) osta kaupu igal ajal ja igal pool;
B) Tehke hindade võrdlev analüüs ja valige parim;
C) saada samaaegne juurdepääs laiale kaubavalikule;
D) Valige ostude sooritamiseks mugavad mehhanismid;
E) Saate teavet ja uudiseid sõltuvalt teie eelistustest.
1.1 E-kaubanduse ajalugu

Esimesed e-kaubanduse süsteemid ilmusid 1960. aastatel Ameerika Ühendriikides. Neid kasutasid transpordiettevõtted erinevate teenuste vaheliseks andmevahetuseks lendude ettevalmistamisel ja piletite broneerimisel.
Esialgu toimus selline kaubandus väljaspool Internetti asuvate võrkude abil vastavalt organisatsioonidevahelise elektroonilise andmevahetuse eristandarditele.
1960. aastate lõpuks kehtis USA-s neli tööstusstandardit erinevate transpordiettevõtete vaheliseks andmevahetuseks. Nende standardite ühendamiseks 1968. aastal loodi spetsiaalne transpordiandmete ühtlustamise komitee. töö tulemused olid uue EDI standardi aluseks.
1970. aastatel toimusid sarnased sündmused Inglismaal. Selles riigis ei olnud EDI peamine rakendusvaldkond transport, vaid kaubandus. Siin valitud Tradacomi spetsifikatsioonide komplekti on ÜRO Euroopa Majanduskomisjon võtnud vastu rahvusvaheliste kaubandusorganisatsioonide andmevahetuse standardina.
1980. aastatel hakati Euroopa ja Ameerika standardeid ühendama. Selle töö tulemusena võeti 1996. aasta septembris rahvusvahelise kaubanduse protseduuride hõlbustamise töörühma 42. istungjärgul vastu soovitus nr 25 "ÜRO elektroonilise andmevahetuse standardi kasutamine halduses, kaubanduses ja transpordis".
Sellel viisil. 1990. aastate alguses võttis EDI-FACT standardi üle ISO (ISO 9735).
Kuid Ameerika ja Euroopa standardite lõplikku ühendamist ei toimunud. Elektroonilise andmevahetuse jaoks on ilmnenud uus paljulubavam võimalus - andmevahetus Interneti kaudu.
Interneti areng koos madala andmeedastushinnaga on muutnud EDI süsteemide kaasajastamise aktuaalseks. Selle tulemusena töötati 1990. aastate keskel välja veel üks standard - EDIFACT over Internet (EDIINT), mis kirjeldab, kuidas edastada EDI - tehing turvaliste e-posti protokollide SMTP / S-MIME kaudu.
E-kaubanduse populaarsuse tekkimiseks ja kasvuks on mitmeid demograafilisi ja tehnoloogilisi eeldusi, näiteks:
a) laialdane juurdepääs infotehnoloogiale, eelkõige arvutitele ja Internetile;
b) ühiskonna haridustaseme tõstmine ja sellest tulenevalt tehnoloogia vabam kasutamine;
c) tehnoloogia areng ja digirevolutsioon on võimaldanud paljudel digiseadmetel omavahel suhelda, nagu arvuti, mobiiltelefon ja palju muud;
d) globaliseerumine, avatud majandus, globaalne konkurents;
e) e-kaubanduse kättesaadavus kõigile, igal ajal ja igas kohas.
f) soov säästa aega;
g) kaupade ja teenuste valiku suurenemine, nõudluse kasv erikaupade ja -teenuste järele.

    Elektroonilise kaubanduse turvalisus.
E-kaubanduse üheks põhiprobleemiks on tänapäeval jätkuvalt turvaprobleem, s.t. riskide minimeerimine ja teabe kaitsmine.
Ettevõtte normaalse toimimise rikkumise põhjused Internetis võivad olla: arvutiviirused, pettused, mis põhjustavad rahalist kahju; konfidentsiaalse teabe vargus; tarbijate kohta konfidentsiaalset teavet sisaldavate failide ebaseaduslik sekkumine jne.
Elektroonilise ettevõtte veebilehe kaitseaste sõltub selle teabe salastatuse tasemest ja selle järgimise vajadusest. Näiteks kui saidile sisestatakse krediitkaardi numbrid, tuleb veebiserverile tagada kõrgeim kaitse.
Turvalisuse hoidmise ülesanded e-kaubanduses taanduvad kasutaja autentimisele, teabe konfidentsiaalsusele ja terviklikkusele: autentimine – kasutaja autentimine; konfidentsiaalsus - kasutaja poolt edastatud privaatsete andmete säilimise tagamine; teabe terviklikkus on edastatava teabe moonutuste puudumine.
Häkkerid ja viirused võivad ohustada veebiserveris oleva teabe terviklikkust.
Häkker tungib nõrgalt kaitstud arvutitesse ja serveritesse ning installib eriprogramme – nähtamatuid, mida on üsna raske tuvastada. Tavaliselt selline nähtamatu programm veebisaiti ei kahjusta, kuid tekitab võrgus palju ummikuid. Häkker määrab oma rünnaku sihtmärgi ja aktiveerib eelinstallitud programmi, saates käsu mitmele arvutile Interneti kaudu. See käivitab rünnaku, mis ummistab äriettevõtte võrgu.
Teine tõsine Interneti-arvutite ja serverite turvarikkumiste liik on viirus. Viirused rikuvad süsteemi terviklikkust ja eksitavad teabekaitsevahendeid. Parim viis viiruste eest kaitsmiseks on viirusetõrjeprogrammide installimine ja perioodiline värskendamine, samuti tulemüüride kasutamine. Tulemüür on ettevõtte võrgu ja Interneti vahele paigaldatud filter, mis kaitseb teavet ja faile volitamata juurdepääsu eest ning võimaldab juurdepääsu ainult selleks volitatud isikutele. Seega takistab tulemüür arvutiviiruste ja häkkerite sisenemist ettevõtte võrku ning kaitseb seda internetiühenduse korral välismõjude eest.
E-kaubanduse tutvustamisel on üheks olulisemaks küsimuseks info konfidentsiaalsus. Kasutaja poolt ettevõttele edastatav teave peab olema turvaliselt kaitstud. Üheks võimaluseks tagada turvaline ja konfidentsiaalne andmeedastus üle arvutivõrkude on krüptograafia, s.o. andmete krüptimine või kodeerimine nii, et neid saavad lugeda ainult konkreetse tehinguga seotud osapooled.
Krüpteerimisel teisendab sõnumi saatja teksti märkide komplektiks, mida ei saa lugeda ilma adressaadile teadaoleva spetsiaalse võtme kasutamiseta. Šifri võti on arvuti kõvakettale või disketile salvestatud tähemärkide jada. Infoturbe aste sõltub krüpteerimisalgoritmist ja võtme pikkusest, mõõdetuna bittides.
Krüpteerimisalgoritme on kahte tüüpi:
    sümmeetriline, milles nii teabe krüptimiseks kui ka dekrüpteerimiseks kasutatakse sama mõlemale poolele teadaolevat võtit;
    asümmeetriline, mis kasutab kahte võtit, ühte krüptimiseks ja teist dekrüpteerimiseks. Üks neist võtmetest on privaatne (salajane), teine ​​avalik (avalik).
Üks tuntumaid ja paljutõotavamaid viise sõnumite saatja autentimiseks on elektrooniline digitaalallkiri (EDS) – käsitsi kirjutatud allkirja elektrooniline vaste. Esimese EDS-i pakkus välja 1976. aastal Whitfield Dyfi Stanfordi ülikoolist. Vene Föderatsiooni föderaalseadus "Elektroonilise digitaalallkirja kohta" sätestab, et elektrooniline digitaalallkiri on elektroonilise dokumendi atribuut, mille eesmärk on kaitsta seda dokumenti võltsimise eest ja mis on saadud teabe krüptograafilise teisendamise tulemusena elektroonilise privaatvõtme abil. digitaalallkirja ja võimaldab tuvastada allkirjavõtme sertifikaadi omanikku ning tuvastada ka elektroonilises dokumendis teabe moonutamise puudumist.
Elektroonilise digitaalallkirja rakendamise protsess on järgmine:
1. Saatja loob sõnumi ja krüpteerib selle oma privaatvõtmega, mis on samal ajal ka saatja digiallkiri. Samas krüpteeritakse nii suhtlustekst ise kui ka dokumendi lõppu lisatud digiallkiri.
2. saatja saadab krüpteeritud sõnumi ja oma avaliku võtme sidekanalite kaudu saajale;
3. Saaja dekrüpteerib kirja saatja avaliku võtmega.
4. Koos EDS-iga kasutatakse tavaliselt üht olemasolevatest HASH-i funktsioonidest. HASH – funktsioon genereerib sõnumi töötlemise käigus tähemärkide jada, mida nimetatakse sõnumi kokkuvõtteks. Saatja koostab kirjast kokkuvõtte, krüpteerib selle ja saadab samamoodi adressaadile. Saaja töötleb sõnumit sama HASH-funktsiooniga ja saab samamoodi sõnumi kokkuvõtte. Kui sõnumi mõlemad kokkuvõtted kattuvad, saadi sõnum rikkumata.
5. Digitaalseid sertifikaate kasutatakse selleks, et kinnitada, et avalik võti kuulub konkreetsele isikule või ettevõttele. Digitaalne sertifikaat on sertifitseerimisasutuse väljastatud dokument, mille eesmärk on kontrollida konkreetse isiku või ettevõtte identiteeti, kontrollides nende nime ja avalikku võtit. Digisertifikaadi saamiseks tuleb võtta ühendust sertifitseerimisasutusega ja esitada vajalik teave. Iga sertifitseerimisasutus kehtestab oma hinnad ja väljastab reeglina aastaks digisertifikaadi, mida saab pärast järgmise aasta eest tasumist uuendada.
Turvaprobleemide lahendamiseks e-kaubanduse ettevõtetes kasutatakse SSL-protokolli ja SET-tehnoloogiat.
SSL-protokoll on peamine protokoll, mida kasutatakse Interneti kaudu edastatavate andmete kaitsmiseks. See protokoll põhineb asümmeetriliste ja sümmeetriliste krüpteerimisalgoritmide kombinatsioonil. Sellel on kolm põhifunktsiooni: serveri autentimine, kliendi autentimine ja SSL-krüptitud ühendus.
SET-protokoll on kommertspankade ja klientide krediitkaartide vaheliste tehingute jaoks kasutatav protokoll.
      Riskid ja ohud
Iga äri on seotud riskidega, mis tulenevad konkurentsist, vargustest, avalike eelistuste ebastabiilsusest, loodusõnnetustest jne. Siiski on e-kaubandusega seotud riskidel oma eripärad ja allikad, sealhulgas:
Kreekerid.
Suutmatus meelitada kaaslasi.
Seadmete rikked.
Toite-, sideliinide või võrgurikked.
Sõltuvus kohaletoimetamisteenustest.
Tihe konkurents.
Tarkvara vead.
Muutused poliitikas ja maksustamises.
Piiratud süsteemi ribalaius.

kreekerid
Kõige populaarsem e-kaubanduse oht pärineb arvutisse tungijatelt – kräkkeritelt. Iga ettevõtet ähvardab kurjategijate rünnak, samas kui suured e-kaubanduse ettevõtted tõmbavad erinevate oskustega arvutihäkkerite tähelepanu.
Selle tähelepanu põhjused on erinevad. Mõnel juhul on see lihtsalt "puhtalt sportlik huvi", mõnel juhul soov kahjustada, varastada raha või osta toode või teenus tasuta.
Saidi turvalisus tagatakse järgmiste meetmete kombinatsiooniga:
Varundage oluline teave.
Personalipoliitika, mis võimaldab kaasata töösse vaid kohusetundlikke inimesi ja stimuleerida personali kohusetundlikkust. Kõige ohtlikumad häkkimiskatsed tulevad ettevõtte seest.
Andmekaitsevõimalustega tarkvara kasutamine ja selle õigeaegne uuendamine.
Personali koolitamine, et tuvastada eesmärgid ja tuvastada süsteemi nõrkused.
Auditeerimine ja logimine edukate ja ebaõnnestunud häkkimiskatsete tuvastamiseks.
Reeglina õnnestub häkkimine tänu kergesti äraarvatavale paroolile, levinud konfiguratsioonivigadele ja enneaegsetele tarkvarauuendustele. Suhteliselt lihtsatest meetmetest piisab kaitseks mitte liiga keeruka kreekeri eest. Viimase abinõuna peaks teil alati olema kriitiliste andmete varukoopia.

Suutmatus meelitada kaaslasi
Kuigi häkkerite rünnakud on kõige murettekitavamad, on enamik e-kaubanduse ebaõnnestumisi ikkagi traditsiooniliste majanduslike tegurite tõttu. Suure e-kaubanduse saidi loomine ja turundamine nõuab palju raha. Ettevõtted eelistavad lühiajalisi investeeringuid, pakkudes kohest klientide ja tulude kasvu, kui bränd on turule jõudnud.
E-kaubanduse kokkuvarisemine tõi kaasa paljude ainult sellele spetsialiseerunud ettevõtete hävingu.

Seadmete rikked
Selge on see, et veebile koondunud ettevõtte ühe arvuti olulise osa rike võib sellele olulist kahju tekitada.
Suure koormuse all olevate või olulisi funktsioone täitvate saitide seisakukaitse tagatakse dubleerimisega, nii et ühegi komponendi rike ei mõjuta kogu süsteemi funktsionaalsust. Kuid ka siin tuleb hinnata võimalikest seisakutest tulenevaid kahjusid võrreldes lisaseadmete soetamise kuludega.
Paljusid Apache, PHP ja MySQL-i kasutavaid arvuteid on suhteliselt lihtne seadistada. Lisaks võimaldab MySQL-i replikatsioonimehhanism teostada üldist teabe sünkroonimist andmebaasides. Suur arv arvuteid tähendab aga suuri kulutusi seadmete, võrguinfrastruktuuri ja hostimise ülalpidamiseks.
Elektrikatkestused, sideliinid, võrk ja tarneteenus
Sõltuvus Internetist tähendab sõltuvust paljudest omavahel seotud teenusepakkujatest, nii et kui ühendus muu maailmaga ootamatult katkeb, ei jää muud üle, kui oodata selle taastumist. Sama kehtib ka elektrikatkestuste ja streikide või muude elektrikatkestuste ja streikide või muude tarneettevõtte häirete kohta.
Piisava eelarvega on võimalik tehinguid teha mitme teenusepakkujaga. See toob kaasa lisakulusid, kuid tagab katkematu töö ühe neist rikke korral. Äärmuslikke elektrikatkestusi saab kaitsta katkematute toiteallikate paigaldamisega.

Tihe konkurents
Tänaval kioski avamise puhul pole konkurentsikeskkonna hindamine keeruline – konkurendid on kõik, kes sama toote silmapiiril müüvad. E-kaubanduse puhul on olukord mõnevõrra keerulisem.
Olenevalt saatmiskuludest, aga ka valuutakursside kõikumisest ja tööjõukulude erinevustest võivad konkurendid asuda kõikjal. Internet on tiheda konkurentsiga ja kiiresti arenev keskkond. Populaarsetes tööstusharudes ilmnevad uued konkurendid peaaegu iga päev.
Konkurentsiga kaasnevat riski on raske hinnata. Siin on kõige õigem strateegia kaasaegse tehnoloogia taseme toetamine.

Tarkvara vead
Kui ettevõte sõltub tarkvarast, on see selle tarkvara vigade suhtes haavatav.

Kriitiliste rikete tõenäosust saab minimeerida, installides usaldusväärse tarkvara, testides nxfntkmyjuj pärast iga defektse riistvara asendamist ja rakendades ametlikke testimisprotseduure. Väga oluline on süsteemi uuendustega kaasneda põhjalik testimine.
Tarkvaratõrgetest põhjustatud kahju vähendamiseks peaksite kõik andmed õigeaegselt varundama. Muudatuste tegemisel on vaja salvestada eelmised programmi konfiguratsioonid. Võimalike rikete kiireks tuvastamiseks on vajalik süsteemi pidev jälgimine.

Muudatused maksupoliitikas
Paljudes riikides ei ole e-äri tegevus defineeritud või ei ole seadusega piisavalt määratletud. Selline olukord ei saa aga kesta igavesti ning probleemi lahendamine toob kaasa mitmeid probleeme, mis võivad viia mõne ettevõtte sulgemiseni. Lisaks on alati oht tõsta makse.
Neid probleeme ei saa vältida. Antud olukorras oleks ainsaks mõistlikuks sammuks olukorra hoolikas jälgimine ja ettevõtte tegevuse seadusega kooskõlla viimine. Samuti tuleks uurida võimalust oma huvides lobitööd teha.

Piiratud süsteemi ribalaius
Süsteemi projekteerimisetapis tuleb kindlasti arvestada selle kasvu võimalusega. Edu on lahutamatult seotud koormustega, seega peab süsteem võimaldama seadmeid suurendada.
Piiratud jõudluse kasvu on võimalik saavutada riistvara väljavahetamisega, kuid ka kõige arenenuma arvuti kiirusel on piir, seega peab tarkvara suutma selle piiri saavutamisel koormust mitme süsteemi vahel jaotada. Näiteks peab andmebaasihaldussüsteem tagama, et mitme masina päringuid töödeldakse samaaegselt.
Süsteemi laiendamine ei ole valutu, kuid selle õigeaegne planeerimine arendusjärgus võimaldab ette näha paljusid klientide arvu kasvuga kaasnevaid probleeme ja neid juba ette ära hoida.

Järeldus
Kuigi Interneti-ühendus pakub tohutut kasu tänu juurdepääsule tohutule hulgale teabele, on see ohtlik ka madala turvalisusega saitidele. Internet kannatab tõsiste turbeprobleemide käes, mis võivad tähelepanuta jätmise korral valmistada ette valmistamata saitidele katastroofi. Vead TCP/IP ülesehituses, hostihalduse keerukus, tarkvara haavatavused ja mitmed muud tegurid muudavad ebaturvalised saidid pahatahtlike rünnakute suhtes haavatavaks.
Organisatsioonid peaksid vastama järgmistele küsimustele, et õigesti kaaluda Interneti-ühenduse võimalikke turvamõjusid.
Kas häkkerid võivad sisesüsteeme hävitada?
Kas organisatsiooni oluline teave võib Interneti kaudu edastamisel ohtu sattuda (muuta või lugeda)?
Kas on võimalik organisatsiooni tööd segada?
Kõik need on olulised küsimused. Interneti põhiliste turvaprobleemide lahendamiseks on palju tehnilisi lahendusi. Siiski on neil kõigil oma hind. Paljud lahendused piiravad funktsionaalsust turvalisuse suurendamise huvides. Teised nõuavad olulisi kompromisse Interneti kasutamise lihtsuse osas. Teised aga nõuavad märkimisväärsete ressursside investeerimist – tööaega turvalisuse juurutamiseks ja hooldamiseks ning raha riist- ja tarkvara ostmiseks ja hooldamiseks.
Interneti-turvapoliitika eesmärk on otsustada, kuidas organisatsioon kavatseb end kaitsta. Poliis koosneb tavaliselt kahest osast – üldpõhimõtetest ja konkreetsetest toimimisreeglitest (mis on samaväärsed allpool kirjeldatud konkreetse poliitikaga). Üldised põhimõtted juhivad lähenemist Interneti-turvalisusele. Reeglid määratlevad, mis on lubatud ja mis keelatud. Reegleid võidakse täiendada konkreetsete protseduuride ja erinevate juhistega.
Tõsi, Interneti-turvalisuse kirjanduses leidub ka kolmandat tüüpi poliitikat. See on tehniline lähenemine. Käesolevas väljaandes mõistetakse tehnilist lähenemist analüüsina, mis aitab poliitika põhimõtteid ja reegleid ellu viia. See on üldiselt liiga tehniline ja keeruline, et organisatsiooni juhtkond aru saaks. Seetõttu ei saa seda kasutada nii laialdaselt kui poliitikat. Siiski on see hädavajalik võimalike lahenduste kirjeldamisel, mis määratlevad kompromisse, mis on poliitika kirjeldamisel vajalik element.
Et Interneti-poliitika oleks tõhus, peavad poliitikakujundajad mõistma kompromisse, mida nad peavad tegema. See poliitika ei tohiks olla vastuolus ka organisatsiooni muude juhtimisdokumentidega. See väljaanne püüab anda tehnilistele inimestele teavet, mida nad vajavad Interneti-poliitika kujundajatele. See sisaldab poliitikakavandit, mille põhjal on seejärel võimalik teha konkreetseid tehnilisi otsuseid.
Internet on oluline ressurss, mis on muutnud paljude inimeste ja organisatsioonide tegevust. Internet kannatab aga tõsiste ja laialt levinud turvaprobleemide käes. Paljud organisatsioonid on sattunud sissetungijate rünnaku või uurimise alla, mille tagajärjel on nad kandnud suuri rahalisi kaotusi ja kaotanud oma prestiiži. Mõnel juhul on organisatsioonid olnud sunnitud ajutiselt Interneti-ühenduse katkestama ja kulutanud märkimisväärseid summasid hosti- ja võrgukonfiguratsioonidega seotud probleemide lahendamiseks. Neid probleeme ignoreerivad või ignoreerivad saidid seavad end sissetungijate võrgurünnaku ohule. Isegi need saidid, mis on rakendanud turvameetmeid, on avatud võrguprogrammide uute haavatavuste ilmnemise ja mõnede ründajate püsivuse tõttu samadele ohtudele.
Põhiprobleem on see, et Internet ei olnud loodud turvaliseks võrguks. Mõned selle probleemid TCP/IP praeguses versioonis on järgmised:
Lihtne andmete pealtkuulamine ja masinate aadresside võltsimine võrgus – suurem osa Interneti-liiklusest on krüptimata andmed. E-kirju, paroole ja faile saab pealt kuulata hõlpsasti kättesaadavate programmide abil.
TCP/IP-rajatiste haavatavus – mitmed TCP/IP-rajatised ei olnud loodud turvaliseks ja oskuslikud ründajad võivad neid ohustada; testimiseks kasutatavad tööriistad on eriti haavatavad.
Eeskirjade puudumine – paljud saidid on teadmatult konfigureeritud nii, et nad pakuvad endale Interneti kaudu laialdast juurdepääsu, arvestamata selle juurdepääsu kuritarvitamise võimalust; paljud saidid lubavad rohkem TCP/IP-teenuseid, kui nad töötamiseks vajavad ega püüa piirata juurdepääsu oma arvutite kohta käivale teabele, mis võiks ründajaid aidata.
Raske konfigureerida – hosti juurdepääsu juhtelemendid on keerulised; paigalduste tõhusust on sageli keeruline õigesti konfigureerida ja testida. Kogemata valesti konfigureeritud tööriistad võivad põhjustada volitamata juurdepääsu.

Kasutatud kirjanduse loetelu
1. Materjalid infotehnoloogia serverist-http://www. citforum.ru
2. Mis on e-kaubandus? V. Zavaleev, Infotehnoloogia keskus. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovitš A.A., Tsarev V.V. Ülikooliõpikud: E-kaubandus 2002, 320 lk.

Elektroonilise kaubanduse infoturve (EÜ)

Internetikasutajate arv on jõudnud mitmesaja miljonini ja uus kvaliteet on ilmunud "virtuaalmajanduse" näol. Selles ostetakse ostusaitide kaudu, kasutades uusi ärimudeleid, oma turundusstrateegiat jne.

E-kaubandus (EC) on äritegevus, mille eesmärk on kaupade müük Interneti kaudu. Reeglina eristatakse kahte EÜ vormi:

* ettevõtetevaheline kaubandus (business to business, B2B);

* kaubandus ettevõtete ja eraisikute vahel, s.o. tarbijad (ettevõttelt tarbijale, B2C).

EÜ tõi kaasa sellised uued mõisted nagu:

* E-pood - vitriin ja kauplemissüsteemid, mida kasutavad tootjad või edasimüüjad, kui kauba järele on nõudlus.

* Elektrooniline kataloog - suure tootevalikuga erinevatelt tootjatelt.

* Elektrooniline oksjon on Interneti-tehnoloogiaid kasutava klassikalise oksjoni analoog, millel on iseloomulik seos multimeediumiliidese, Interneti-juurdepääsukanaliga ja kauba omaduste kuvamine.

* Elektrooniline kaubamaja on analoog tavapärasele kaubamajale, kus tavafirmad oma kaupu eksponeerivad, tõhusa tootemargiga (Gostiny Dvor, GUM jne).

* Virtuaalsed kogukonnad (kogukonnad), milles ostjaid korraldavad huvigrupid (fänniklubid, ühendused jne).

Internet toob CI valdkonnas märkimisväärset kasu:

* suurte eraettevõtete kokkuhoid tooraine ja komponentide ostude üleviimiselt Interneti-börsidele ulatub 25 - 30%ni;

* reaalajas osalemine konkureerivate tarnijate oksjonil üle kogu maailma toob kaasa nende poolt programmeeritud kaupade tarnimise või teenuste osutamise hindade languse;

* kaupade või teenuste hinnatõus üle maailma ostjate konkurentsi tõttu;

* Kokkuhoid vajalike töötajate arvu ja paberimajanduse vähendamise kaudu.

Lääneriikides on EK-s domineerivaks positsiooniks saanud B2B sektor, mis 2007. aastaks ulatub erinevatel hinnangutel 3–6 triljonini. dollareid. Riist- ja tarkvara müüvad ning arvuti- ja telekommunikatsiooniteenuseid pakkuvad ettevõtted said oma äritegevuse üleviimisest Internetti esimestena kasu.

Iga veebipood sisaldab kahte peamist koostisosad:

elektrooniline kauplus ja kauplemissüsteem.

Elektrooniline vitriin sisaldab teavet veebisaidil müüdavate kaupade kohta, võimaldab juurdepääsu kaupluse andmebaasile, registreerib kliente, töötab kliendi elektroonilise "korviga", esitab tellimusi, kogub turundusteavet ja edastab teavet kauplemissüsteemi.

Kauplemissüsteem tarnib kaubad ja töötleb nende eest tasumist. Kauplemissüsteem on erinevatele ettevõtetele kuuluvate kaupluste kogum, mis rendivad ruumi ühele ettevõttele kuuluvas veebiserveris.

Veebipoe töötehnoloogia järgnevalt:

Ostja kaupade ja hindade kataloogiga elektroonilisel poel (veebisaidil) valib soovitud toote ja täidab ankeedi isikuandmetega (nimi, posti- ja e-posti aadress, eelistatud tarne- ja makseviis). Kui tasumine toimub interneti kaudu, siis erilist tähelepanu pööratakse infoturbele.

Väljastatud kauba ülekandmine veebipoe kauplemissüsteemi,

kus tellimuste komplekteerimine toimub. Kauplemissüsteem toimib käsitsi või automatiseeritud viisil. Manuaalne süsteem toimib postikaubanduse põhimõttel, kui reeglina väikese kaubakogusega ei ole võimalik automaatset süsteemi osta ja seadistada.

Kauba kohaletoimetamine ja tasumine. Toimub kauba üleandmine ostjale

üks võimalikest viisidest:

* kaupluse kuller linnas ja selle lähiümbruses;

* spetsialiseeritud kullerteenus (ka välismaalt);

* ise kohaletoimetamine;

* telekommunikatsioonivõrgud pakuvad sellist spetsiifilist

kaup kui teave.

Kauba eest saab tasuda järgmistel viisidel:

* enne kauba kättesaamist või kauba kättesaamisel;

* sularahas kullerile või päris poodi külastades;

* postiülekanne;

* Pangatehing;

* kohapeal sularahas;

* krediitkaartide kasutamine (VISA, MASTER CARD jne);

elektrooniliste maksesüsteemide kaudu eraldi reklaami kaudu

pangad (TELEBANK, ASSIST jne).

Viimasel ajal on maailmas e-kaubandus ehk kaubandus Interneti kaudu üsna kiiresti arenenud. Loomulikult on see protsess

toimub finantsasutuste otsesel osalusel. Ja selline kauplemisviis muutub üha populaarsemaks, vähemalt seal, kus märkimisväärne osa ettevõtetest ja elanikkonnast saab uut elektroonilist turgu kasutada.

Äritegevus elektroonilistes võrkudes eemaldab mõned füüsilised piirangud. Ettevõtted, ühendades oma arvutisüsteemid

Internet, suudavad pakkuda klientidele tuge 24 tundi ööpäevas, ilma pühade ja nädalavahetusteta. Toodete tellimusi saab vastu võtta igal ajal ja kõikjal.

Sellel "medalil" on aga oma tagakülg. Välismaal, kus e-kaubandus on kõige laiemalt arenenud, on tehingud või kaupade maksumus sageli piiratud 300-400 dollariga. Selle põhjuseks on infoturbe probleemide ebapiisav lahendamine arvutivõrkudes. ÜRO kuritegevuse ennetamise ja kontrolli komitee hinnangul on arvutikuritegevus jõudnud ühe rahvusvahelise probleemi tasemele. Ameerika Ühendriikides on seda tüüpi kuritegelik tegevus kasumlikkuse poolest relva- ja narkokaubanduse järel kolmandal kohal.

Interneti kaudu toimuva e-kaubanduse maailmakäibe maht 2006. a.

Forrester Tech. prognooside kohaselt võib see olla 1,8–2 triljonit. dollarit Nii laia prognoosivahemiku määrab e-kaubanduse majandusliku turvalisuse tagamise probleem. Kui turvalisuse tase jääb tänasele tasemele, siis võib e-kaubanduse globaalne käive olla veelgi väiksem. Sellest järeldub, et just e-kaubanduse süsteemi madal turvalisus on e-äri arengut pärssiv tegur.

E-kaubanduse majandusliku turvalisuse tagamise probleemi lahendamine on seotud eelkõige selles kasutatavate infotehnoloogiate kaitse küsimuste lahendamise ehk infoturbe tagamisega.

Äriprotsesside integreerimine internetikeskkonda toob kaasa põhimõttelise muutuse olukorrast turvalisusega. Õiguste ja kohustuste genereerimine elektroonilise dokumendi alusel eeldab igakülgset kaitset nii dokumendi saatja kui ka saaja ohtude terviku vastu. Kahjuks on e-kaubanduse ettevõtete juhid infoohtude tõsidusest ja oma ressursside kaitse korraldamise tähtsusest täielikult teadlikud alles pärast seda, kui on sattunud inforünnete alla. Nagu näete, on kõik need takistused seotud infoturbe valdkonnaga.

Äritehingute tegemise põhinõuete hulgas on konfidentsiaalsus, terviklikkus, autentimine, autoriseerimine, garantiid ja salastatus.

Infoturbe saavutamisel on tagatud selle kättesaadavus, konfidentsiaalsus, terviklikkus ja õiguslik tähendus põhilised ülesandeid . Iga ohtu tuleb arvesse võtta selle seisukohast, kuidas see võib mõjutada neid nelja turvalise teabe omadust või omadust.

Konfidentsiaalsus tähendab, et piiratud juurdepääsuga teave peaks olema kättesaadav ainult isikule, kellele see on mõeldud. Under terviklikkus informatsiooni mõistetakse kui selle omadust eksisteerida moonutamata kujul. Kättesaadavus teabe määrab süsteemi võime tagada õigeaegne ja takistamatu juurdepääs teabele subjektidele, kellel on selleks vastavad volitused. Õiguslik tähendus teave muutub viimasel ajal üha olulisemaks koos infoturbe reguleeriva raamistiku loomisega meie riigis.

Kui esimesed neli nõuet on tehniliste vahenditega täidetud, siis kahe viimase täitmine sõltub nii tehnilistest võimalustest kui ka üksikisikute ja organisatsioonide vastutusest ning tarbijat võimalike müüja pettuste eest kaitsvate seaduste järgimisest.

Igakülgse infoturbe tagamise osana tuleb eelkõige esile tuua võti probleeme elektroonilise turvalisuse valdkonnas äri mis sisaldavad:

teabe kaitse selle edastamisel sidekanalite kaudu; arvutisüsteemide, andmebaaside ja elektroonilise dokumendihalduse kaitse;

teabe pikaajalise säilitamise tagamine elektroonilisel kujul; tehingute turvalisuse tagamine, äriteabe saladus, autentimine, intellektuaalomandi kaitse jne.

E-kaubanduse ohte on mitut tüüpi:

 Tungimine süsteemi väljastpoolt.

 Volitamata juurdepääs ettevõtte sees.

 Teabe tahtlik pealtkuulamine ja lugemine.

 Andmete või võrkude tahtlik rikkumine.

 Vale (pettuse eesmärgil) tuvastamine

kasutaja.

 Tarkvara- ja riistvarakaitse häkkimise eest.

 Kasutaja volitamata juurdepääs ühest võrgust teise.

 Viiruste rünnakud.

 Teenusest keeldumine.

 Finantspettus.

Nende ohtude vastu võitlemiseks kasutatakse mitmeid erinevatel tehnoloogiatel põhinevaid meetodeid, nimelt: krüpteerimine – andmete kodeerimine, mis takistab nende lugemist või moonutamist; digitaalallkirjad, mis kontrollivad saatja ja saaja identiteeti; elektroonilisi võtmeid kasutavad vargsi tehnoloogiad; tulemüürid; virtuaalsed ja privaatvõrgud.

Ükski kaitsemeetod pole universaalne, näiteks tulemüürid ei kontrolli viiruste olemasolu ega suuda tagada andmete terviklikkust. Automaatse kaitse rikkumise vastu võitlemiseks pole absoluutselt usaldusväärset viisi ja see on ainult aja küsimus, millal see rikutakse. Kuid aeg, mis kulub sellise kaitse purustamiseks, sõltub omakorda selle kvaliteedist. Pean ütlema, et tarkvara ja riistvara Interneti-ühenduste ja -rakenduste kaitsmiseks on välja töötatud pikka aega, kuigi uusi tehnoloogiaid võetakse kasutusele mõnevõrra ebaühtlaselt.

Milline ähvardused varitsema e-kaubandusega tegelevat ettevõtet igal etapil :

 e-poe serveri veebilehe asendamine (päringute ümbersuunamine teise serverisse), kliendi, eelkõige tema krediitkaartide kohta käiva teabe kolmandatele isikutele kättesaadavaks tegemine;

 võltstellimuste loomine ja mitmesugused pettused elektroonikapoe töötajate poolt, näiteks manipuleerimine andmebaasidega (statistika näitab, et üle poole arvutiintsidentidest on seotud nende enda töötajate tegevusega);

 e-kaubanduse võrkude kaudu edastatavate andmete pealtkuulamine;

 Sissetungijate tungimine ettevõtte sisevõrku ja elektroonikapoe komponentide kompromiteerimine;

Soovitame lugeda



Sarnased postitused