Безопасность электронной коммерции

Безопасность на сегодняшний день является ключевым вопросом при внедрении и использовании систем электронной коммерции (ЭК). Психологический фактор, связанный с осознанием угрозы потенциального мошенничества, остается основным препятствием для использования Интернета в качестве средства проведения коммерческих операций.

Пользователи и специалисты до сих пор не рассматривают Интернет как безопасную среду. Опросы показывают, что наибольшей потенциальной угрозой является несанкционированное получение персональных данных при использовании открытых каналов связи Интернет. По данным разработчиков платежной системы VISA около 23% транзакций ЭК так и не производится из-за боязни клиента ввести собственную персональную информацию при работе, например, с электронным магазином персональную информацию о клиенте. Анализ литературных источников показывает, что для обеспечения необходимо выполнить следующие три условия:

Исключить возможность перехвата персональной или банковской информации во время транзакции;

Исключить возможность извлечения этой информации из баз данных;

Исключить возможность использовать "украденную" информацию в собственных целях.

Для защиты от перехвата, для защиты информации во время транзакции используют как симметричные, так и ассиметричные криптоалгоритмы. Вместе с тем используются дополнительные каналы связи отличные от Интернет - каналов: факс, телефон, обычная почта и т.д.

Учитывая, что зарубежное и Российское законодательство приравнивает цифровую подпись к рукописной, широкое распространение получило аутентификация транзакций на основе концепции цифровой подписи.

При рассмотрении возможности перехвата интересующей информации, нельзя не исключить "человеческий фактор", поэтому одновременно с программно-аппаратными средствами необходимо использовать и организационные, обеспечивающие охрану информационных ресурсов, исключение шантажа, контроль за паролями и т.д.

Для защиты информации от перехвата используются протокол шифрования SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Однако в основе SSL лежит схема асимметричного шифрования с открытым ключом, в качестве шифровальной схемы используется алгоритм RSA, ввиду технических особенностей этот алгоритм считается менее надежным. SET более защищенный протокол, но технологически сложный и дорогой. Поэтому его повсеместное внедрение не осуществляется и вопрос безопасности остается открытым.

Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.

Эффективность электронной коммерции

В настоящее время используется множество разнообразных систем электронного бизнеса. Это вызывает проблемы при выборе системы ЭК для решения конкретной задачи, стоящей перед пользователем. Предлагается использовать метод анализа иерархий для оценки параметров, по которым сравниваются системы ЭК.

Эффективность систем ЭК обозначает меру соответствия используемых в ней технологий, приемов и правил коммерческим потребностям ее субъектов.

Сейчас многие методики оценки эффективности Interntet-проектов, к которым относятся и системы ЭК, базируются на таких показателях работы, как частота посещаемости сайта и время, которое проводит посетитель на сайте. Например, для электронного магазина важным фактором оценки эффективности его функционирования является количество посетителей.

Существуют такие направления оценки эффективности систем ЭК:

экономическое;

организационное;

маркетинговое.

Эти три направления взаимосвязаны.

Экономическая эффективность может быть определена как отношение прибыли P, полученной вследствие применения системы, к затратам Z, связанным с ее разработкой и эксплуатацией: . Затраты при этом определяются как сумма капитальных вложений в проектирование, приобретение компонент и реализацию системы и эксплуатационных затрат. Но получить эти оценки можно только после внедрения системы. Пользователю же необходимо иметь средства выбора системы для реализации конкретной задачи, стоящей перед ним.

Чтобы сравнивать системы ЭК, можно использовать методы, применяемые для анализа открытых систем, которые предоставляют средства выявления приоритетов лица, принимающего решение (ЛПР), и измерения интенсивности взаимодействия компонент, описывающих структуру системы иерархии.

Существует несколько видов угроз электронной коммерции:

Проникновение в систему извне.

Несанкционированный доступ внутри компании.

Преднамеренный перехват и чтение информации.

Преднамеренное нарушение данных или сетей.

Неправильная (с мошенническими целями) идентификация пользователя.

Взлом программно-аппаратной защиты.

Несанкционированный доступ пользователя из одной сети в другую.

Вирусные атаки.

Отказ в обслуживании.

Финансовое мошенничество.

Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование – кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; stealth-технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.

Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом – это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.

Какие угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе:

Подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;

Создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);

Перехват данных, передаваемых по сетям электронной коммерции;

Проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;

Реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.

В результате реализации таких угроз компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования.

Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.

1. Обеспечение безопасности электронной коммерции

Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч.

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

За рубежом решением проблемы информационной безопасности электронного бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF) – общественная организация, состоящая из представителей и экспертов компаний-поставщиков средств информационной безопасности, электронного бизнеса и провайдеров Интернет - услуг.

Консорциум ISTF выделяет двенадцать областей информационной безопасности, на которых в первую очередь должно быть сосредоточено внимание организаторов электронного бизнеса:

Механизм объективного подтверждения идентифицирующей информации;

Право на персональную, частную информацию;

Определение событий безопасности;

Защита корпоративного периметра;

Определение атак;

Контроль потенциально u1086 опасного содержимого;

Контроль доступа;

Администрирование;

Реакция на события.

Известно, что надежно защититься от многих угроз позволяет применение алгоритмов электронной цифровой подписи (ЭЦП), однако это справедливо только в том случае, если эти алгоритмы вплетены в обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия.

В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить – каждый, у кого имеется открытый ключ, соответствующий закрытому ключу.

Безусловно, обеспечением информационной безопасности должны заниматься специалисты в данной области, но руководители органов государственной власти, предприятий и учреждений независимо от форм собственности, отвечающие за экономическую безопасность тех или иных хозяйственных субъектов, должны постоянно держать данные вопросы в поле своего зрения. Для них ниже приведены основные функциональные компоненты организации комплексной системы информационной безопасности:

Коммуникационные протоколы;

Средства криптографии;

Средства контроля доступа к рабочим местам из сетей общего пользования;

Антивирусные комплексы;

Программы обнаружения атак и аудита;

Средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям.

В Интернет уже давно существует целый ряд комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.

Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью – непосредственные результаты усилий IETF. Тип применяемого продукта защиты зависит от нужд компании.

В Интернет популярны протоколы безопасной передачи данных, а именно SSL, SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто.

К сожалению, в России пока еще с большой осторожностью относятся к возможности внедрения Интернет в те сферы деятельности, которые связаны с

передачей, обработкой и хранением конфиденциальной информации. Подобная

осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров таких производителей, как Microsoft и Netscape Communications, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет.

Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным – например, таким, как номера кредитных карт.

Шифрование данных

На бизнес-сайте обрабатывается чувствительная информация (например, номера кредитных карточек потребителей). Передача такой информации по Интернет без какой-либо защиты может привести к непоправимым последствиям. Любой может подслушать передачу и получить таким образом доступ к конфиденциальной информации. Поэтому данные необходимо шифровать и передавать по защищенному каналу. Для реализации защищенной передачи данных используют протокол Secure Sockets Layer (SSL).

Для реализации этой функциональности необходимо приобрести цифровой сертификат и установить его на ваш(и) сервер(а). За цифровым сертификатом можно обратиться в один из органов сертификации. К общеизвестным коммерческим сертификационным организациям относятся: VerySign, CyberTrust, GTE.

SSL представляет собой схему для таких протоколов, как HTTP (называемого HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для передачи данных:

Данные зашифрованы;

Между сервером-источником и сервером назначения установлено защищенное соединение;

Активирована аутентификация сервера.

Когда пользователь отправляет номер кредитной карточки с применением протокола SSL, данные немедленно шифруются, так что хакер не может видеть их содержание. SSL не зависит от сетевого протокола.

Программное обеспечение сервера Netscape обеспечивает также аутентификацию – сертификаты и цифровую подпись, удостоверяя личность пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего маршрута.

Аутентификация подразумевает подтверждение личности пользователя и цифровой подписи для проверки подлинности документов, участвующих в обмене информацией и финансовых операциях. Цифровая подпись представляет собой данные, которые могут быть приложены к документу во избежание подлога.

Выявление вторжений

Системы выявления вторжений (Intrusion Detection Systems, IDS) могут идентифицировать схемы или следы атак, генерировать аварийные сигналы для

предупреждения операторов и побуждать маршрутизаторы прерывать соединение с источниками незаконного вторжения. Эти системы могут также предотвращать попытки вызвать отказ от обслуживания.

Описание работы

Целью данной работы является изучение понятия электронной коммерции и рассмотрение вопросов информационной безопасности электронной коммерции.
Задачи:
- дать определение электронной коммерции;
- рассмотреть её основные элементы, виды, положительные и отрицательные стороны;
- рассмотреть основные виды угроз и основные способы обеспечения безопасности электронной коммерции.

Понятие “безопасность” в русском языке трактуется как состояние, при котором отсутствует опасность, есть защита от нее. С точки зрения языка, понятие “безопасность” является антонимом понятия “опасность”. Оно характеризует определенное состояние какой-либо системы (социальной, технической или любой другой), процесса или явления.

Безопасность - это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.

Угроза, согласно словарю русского языка, определяется как непосредственная опасность. Опасность носит общий, потенциальный характер, но так как противоречия между субъектами отношений возникают постоянно, то и опасность интересам может существовать постоянно.

Одним из принятых определений является следующее: угроза безопасности - это совокупность условий и факторов, создающих опасность жизненно важным интересам, т. е. угроза представляется некой совокупностью обстоятельств (условий) и причин (факторов).

С юридической точки зрения понятие “угроза” определяется как намерение нанести зло (ущерб).

Таким образом, угрозу безопасности можно обозначить как “деятельность, которая рассматривается в качестве враждебной по отношению к интересам”.

При всем многообразии видов угроз все они взаимосвязаны и воздействуют на интересы, как правило, комплексно. Поэтому для их ослабления, нейтрализации и парирования создается система обеспечения безопасности.

Понятие “защита” (“защищенность”) означает ограждение субъекта отношений от угроз.

Обеспечение безопасности - это особым образом организованная деятельность, направленная на сохранение внутренней устойчивости объекта, его способности противостоять разрушительному, агрессивному воздействию различных факторов, а также на активное противодействие существующим видам угроз.

Система безопасности предназначена для выявления угроз интересам, поддержания в готовности сил и средств обеспечения безопасности и управления ими, организации нормального функционирования объектов безопасности.

Применительно к электронной коммерции определение безопасности можно сформулировать так.

Безопасность электронной коммерции - это состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь.

Обеспечение безопасности независимо от форм собственности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, занимающейся розничной торговлей. Различия будут состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности.

Рыночные отношения с их неотъемлемой частью - конкуренцией основаны на принципе “выживания” и потому обязательно требуют обеспечения защиты от угроз.

По сложившейся международной практике безопасности объектами защиты с учетом их приоритетов являются:

• - человек;
• - информация;
• -- материальные ценности.

Опираясь на понятие безопасности и перечисленные выше объекты защиты, можно сказать, что понятие “безопасность” любою предприятия или организации включает в себя (рис. 120):

• ? физическую безопасность, под которой понимается обеспечение защиты от посягательств на жизнь и личные интересы сотрудников;
• ? экономическую безопасность, под которой понимается защита экономических интересов субъектов отношений. В рамках экономической безопасности также рассматриваются вопросы обеспечения защиты материальных ценностей от пожара, стихийных бедствий, краж и других посягательств;
• ? информационную безопасность, под которой понимается защита информации от модификации (искажения, уничтожения) и несанкционированного использования.

Повседневная практика показывает, что к основным угрозам физической безопасности относятся:

• - психологический террор, запугивание, вымогательство, шантаж;
• - грабеж с целью завладения материальными ценностями или документами;
• - похищение сотрудников фирмы или членов их семей;
• - убийство сотрудника фирмы.

Рис. 120.

В настоящее время ни один человек не может чувствовать себя в безопасности. Не затрагивая специфических вопросов обеспечения физической безопасности, можно сказать, что для совершения преступления преступники предварительно собирают информацию о жертве, изучают ее “слабые места”. Без необходимой информации об объекте нападения степень риска для преступников значительно увеличивается. Поэтому одним из главных принципов обеспечения физической безопасности является сокрытие любой информации о сотрудниках фирмы, которой преступники могут воспользоваться для подготовки преступления. В общем случае можно сформулировать следующие виды угроз экономической безопасности:

• - общая неплатежеспособность;
• - утрата средств по операциям с фальшивыми документами;
• - подрыв доверия к фирме.

Практика показывает, что наличие этих угроз обусловлено в первую очередь следующими основными причинами:

• - утечкой, уничтожением или модификацией (например, искажением) коммерческой информации;
• - отсутствием полной и объективной информации о сотрудниках, партнерах и клиентах фирмы;
• - распространением конкурентами необъективной, компрометирующей фирму информации.

Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности фирмы.

Как считают западные специалисты, утечка 20% коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны.

Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям.

Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят “классические” методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк.

Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.

С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений - компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.

Противодействовать компьютерной преступности сложно, что главным образом объясняется:

• ? новизной и сложностью проблемы;
• ? сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;
• ? возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления;
• ? трудностями сбора и юридического оформления доказательств компьютерного преступления.

Обобщая вышеприведенные виды угроз безопасности, можно выделить три составляющие проблемы обеспечения безопасности:

• - правовую защиту;
• - организационную защиту;
• - инженерно-техническую защиту.

Смысл правового обеспечения защиты вытекает из самого названия.

Организационная защита включает в себя организацию охраны и режима работы объекта.

Под инженерно-технической защитой понимается совокупность инженерных, программных и других средств, направленных на исключение угрозы безопасности.

Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основные блока: общие принципы обеспечения защиты, организационные принципы, принципы реализации системы защиты (рис. 121).

1. Общие принципы обеспечения защиты

Принцип неопределенности обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты.

Рис. 121.

Принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности.

Принцип минимального риска заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска, исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени.

Принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз.

2. Организационные принципы

Принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как “государственная собственность”, “государственная тайна”, появились новые - “частная собственность”, “собственность предприятия”, “интеллектуальная собственность”, “коммерческая тайна”, “конфиденциальная информация”, “информация с ограниченным доступом”. Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна.

Принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована.

Принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей.

Принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности.

3. Принципы реализации системы защиты

Принцип комплексности и индивидуальности. Безопасность объекта защиты не обеспечивается каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям.

Принцип последовательных рубежей. Реализация данного принципа позволяет своевременно обнаружить посягательство на безопасность и организовать последовательное противодействие угрозе в соответствии со степенью опасности.

Принцип защиты средств защиты является логическим продолжением принципа защиты “всех от всех”. Иначе говоря, любое мероприятие по защите само должно быть соответственно защищено. Например, средство защиты от попыток внести изменения в базу данных должно быть защищено программным обеспечением, реализующим разграничение прав доступа.

Обеспечение комплексной защиты объектов является в общем случае индивидуальной задачей, что обусловлено экономическими соображениями, состоянием, в котором находится объект защиты, и многими другими обстоятельствами.

Методика построения системы безопасности показана на рис. 122.

Рис. 122.

Прежде чем приступить к созданию системы безопасности, необходимо определить объекты защиты, уничтожение, модификация или несанкционированное использование которых может привести к нарушению интересов, убыткам и проч.

Определив объекты защиты, следует выявить сферы их интересов и проанализировать множество угроз безопасности объектов защиты. Если угрозы безопасности преднамеренные, то необходимо разработать предполагаемую модель злоумышленника. Далее нужно проанализировать возможные угрозы и источники их возникновения, выбрать адекватные средства и методы защиты и таким образом сформулировать задачи и определить структуру системы обеспечения безопасности.

Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции.

Принято выделять следующие категории электронной коммерции: бизнес-бизнес, бизнес-потребитель, бизнес- администрация. При этом независимо от категории электронной коммерции выделяют три класса субъектов: финансовые институты, клиенты и бизнес-организации (рис. 123).

Финансовые институты могут быть разные, но в первую очередь это банки, так как именно в них все остальные субъекты электронной коммерции имеют счета, которые отражают движение средств. Правила и условия движения этих средств определяются используемой платежной системой.

Клиентами (покупателями, потребителями) могут быть как физические, так и юридические лица.

Бизнес-организации - это любые организации, что-либо продающие или приобретающие через Интернет.

Рис. 123.

Открытый характер интернет-технологий, доступность передаваемой по Сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по Сети информации, доступности сервисов и управляемости инфраструктуры.

Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории:

• - доступность (возможность за приемлемое время получить требуемую услугу);
• - целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения);
• - конфиденциальность (защита информации от несанкционированного ознакомления).

Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции.

Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.

Основные угрозы информационной безопасности электронной коммерции связаны (рис. 124):

• -- с умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы);
• - с неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.);
• - с воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои);

Рис. 124.

С воздействием так называемых техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т. д.).

Интерес к электронной коммерции растет и продолжает расти. Российские компании стремятся догнать по объемам продаж зарубежных коллег. По электронной коммерции проводят семинары и конференции, пишут статьи и обзоры. Особое внимание уделяют безопасности и защите электронных транзакций. Для компаний важно доверие пользователя к электронным сделкам. Кратко рассмотрим этапы приобретения продуктов и услуг через Internet.

Заказчик выбирает продукт или услугу через сервер электронного магазина и оформляет заказ.

Заказ заносится в базу данных заказов магазина. Проверяется доступность продукта или услуги через центральную базу данных. Если продукт не доступен, то заказчик получает об этом уведомление. В зависимости от типа магазина, запрос на продукт может быть перенаправлен на другой склад. В случае наличия продукта или услуги заказчик подтверждает оплату и заказ помещается в базу данных. Электронный магазин посылает заказчику подтверждение заказа. В большинстве случаев существует единая база данных для заказов и проверки наличия товаров. Клиент в режиме online оплачивает заказ. Товар доставляется заказчику.

Рассмотрим основные угрозы, которые подстерегают компанию на всех этапах. Подмена страницы Web-сервера электронного магазина. Основной способ реализации - переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Особенно это опасно, когда заказчик вводит номер своей кредитной карты. Создание ложных заказов и мошенничество со стороны сотрудников электронного магазина. Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками. Перехват данных, передаваемых в системе электронной коммерции. Особую опасность представляет собой перехват информации о кредитной карте заказчика. Проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. Реализация атак типа "отказ в обслуживании" и нарушение функционирования или выведение из строя узла электронной коммерции.

В результате всех этих угроз компания теряет доверие клиентов и теряет деньги от несовершенных сделок. В некоторых случаях этой компании можно предъявить иск за раскрытие номеров кредитных карт. В случае реализации атак типа "отказ в обслуживании" на восстановление работоспособности тратятся временные и материальные ресурсы на замену оборудования. Перехват данных не зависит от используемого программного и аппаратного обеспечения.. Это связано с незащищенностью версии протокола IP (v4). Решение проблемы - использование криптографических средств или переход на шестую версию протокола IP. В обоих случаях существуют свои проблемы. В первом случае применение криптографии должно быть лицензировано в соответствующем ведомстве. Во втором случае возникают организационные проблемы. Еще возможны несколько угроз. Нарушение доступности узлов электронной коммерции и неправильная настройка программного и аппаратного обеспечения электронного магазина.

2. Методы защиты.

Все это говорит о необходимости комплексной защиты. Реально защита часто ограничивается использованием криптографии (40-битной версии протокола SSL) для защиты информации между броузером клиента и сервером электронного магазина и фильтром на маршрутизаторе.

Комплексная система защиты должна строиться с учетом четырех уровней любой информационной системы. Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня - текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, броузер Internet Explorer.

Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных информационной системы. Примером элементов этого уровня - СУБД Oracle, MS SQL Server, Sybase и MS Access. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры - ОС M S Windows NT, Sun Solaris, Novell Netware. Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примеры - протоколы TCP/IP, IPS/SPX и SMB/NetBIOS.

Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет реализовать атаку на ресурсы электронного магазина. Опасны и внешние и внутренние атаки. По статистике основная опасность исходит от внутренних пользователей электронного магазина (операторов системы). Для получения несанкционированного доступа к информации о заказах в базе данных есть следующие возможности. Прочитать записи БД из MS Query, который позволяет получать доступ к записям многих СУБД при помощи механизма ODBC или SQL-запросов.Прочитать нужные данные средствами самой СУБД (уровень СУБД). Прочитать файлы базы данных непосредственно на уровне операционной системы. Отправить по сети пакеты со сформированными запросами на получение необходимых данных от СУБД. Или перехватить эти данные в процессе их передаче по каналам связи (уровень сети).

Обычно основное внимание уделяется нижним двум уровням - уровню сети и операционной системы. На уровне сети применяются маршрутизаторы и межсетевые экраны. На уровне ОС - встроенные средства разграничения доступа. Этого недостаточно. Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина. Или перехватил их в процессе передачи по сети или подобрал при помощи специальных программ. И межсетевой экран, и операционная система пропускает злоумышленника ко всем ресурсам из-за предъявленных идентификатора и пароля авторизованного пользователя. Это особенность функционирования экрана и системы.

Нужны новые средства и механизмы защиты. Средствам обнаружения атак в настоящий момент уделяется много внимания во всем мире. По прогнозам известных компаний объемы продаж этих средств до 900 миллионов долларов в 2003 году. Эти средства с одинаковой эффективностью функционируют внутри сети и снаружи, защищая от внешних несанкционированных воздействий.

Эти средства позволяют своевременно обнаруживать и блокировать сетевые атаки типа "отказ в обслуживании", направленные на нарушение работоспособности электронного магазина. Одним из примеров средств обнаружения атак - система RealSecure, разработанная компанией Internet Security Systems, Inc.

Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы eCommerce (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Перечислим несколько примеров. Ошибка переполнения буфера в броузерах Microsoft и Netscape, ошибка реализации демона IMAP и почтовой программы sendmail, использование пустых паролей и паролей менее 6 символов, запущенные, но не используемые сервисы, например, Telnet. Все это может привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных.

Необходимо своевременно обнаружить и устранить уязвимости информационной системы на всех уровнях. Помогут средства анализа защищенности и сканеры безопасности. Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т.ч. и удаленных на значительные расстояния. В этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях - Internet Scanner, System Scanner и Database Scanner. Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обеспечения информационной безопасности eCommerce. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг.

Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина.

Рекомендуется использовать дополнительные средства защиты. Такие средства могут быть как свободно распространяемыми, так и коммерческими продуктами. Какие из этих средств лучше, решать в каждом конкретном случае по-своему. В случае нехватки денег на приобретение средств защиты о приходится обращать внимание на бесплатные средства. Однако использование таких средств связано с некачественной защитой и отсутствием технической поддержки. Из коммерческих российских средств, реализующих большое число защитных функций можно назвать системы семейства SecretNet, разработанные предприятием "Информзащита". Вообще, чисто техническими средствами решить задачу построения комплексной системы защиты нельзя. Необходим комплекс организационных, законодательных, физических и технических мер.

Часто организации используют частичные подходы для решения проблем с защитой. Эти подходы основаны на их восприятии рисков безопасности. Администраторы безопасности имеют тенденцию реагировать только на те риски, которые им понятны. На самом деле таких рисков может быть больше. Администраторы понимают возможное неправильное использование ресурсов системы и внешних атаки, но зачастую плохо знают об истинных уязвимостях в сетях. Постоянное развитие информационных технологий вызывает целый ряд новых проблем. Эффективная система обеспечения безопасности предполагает наличие хорошо тренированного персонала, который выполняет функции. П ридерживается стандартизованного подхода к обеспечению безопасности, внедряет процедуры и технические средства защиты, проводит постоянный контроль подсистем аудита, обеспечивающих анализ потенциальных атак.

Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает. Появляются новые неучтенные угрозы и уязвимости системы. Есть понятие - адаптивная безопасность сети. Она позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Состоит из трех основных элементов - технологии анализа защищенности, технологии обнаружения атак, технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, но наращивая число проверок и исследуя все ее уровни. Обнаружение атак - оценка подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа журналов регистрации операционной системы и прикладного ПО и сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия.

Как частный и наиболее распространенный случай применения систем обнаружения можно привести ситуацию с неконтролируемым применением модемов. Системы анализа защищенности позволяют обнаружить такие модемы, а системы обнаружения атак - идентифицировать и предотвратить несанкционированные действия, осуществляемые через них. Аналогично средствам анализа защищенности средства обнаружения атак также функционируют на всех уровнях корпоративной сети. В качестве примера также можно привести разработки компании ISS, как лидера в области обнаружения атак и анализа защищенности.

3. Шифрование и электронно-цифровая подпись.

При помощи процедуры шифрования отправитель сообщения преобразует его из простого сообщения в набор символов, не поддающийся прочтению без применения специального ключа, известного получателю. Получатель сообщения, используя ключ, преобразует переданный ему набор символов обратно в текст. Обычно алгоритмы шифрования известны и не являются секретом. Конфиденциальность передачи и хранения зашифрованной информации обеспечивается за счет конфиденциальности ключа. Степень защищенности зависит от алгоритма шифрования и от длины ключа, измеряемой в битах. Чем длиннее ключ, тем лучше защита, но тем больше вычислений надо провести для шифрования и дешифрования данных. Основные виды алгоритмов шифрования – симметричные и асимметричные. Симметричные методы шифрования удобны тем, что для обеспечения высокого уровня безопасности передачи данных не требуется создания ключей большой длины. Это позволяет быстро шифровать и дешифровать большие объемы информации. Вместе с тем, и отправитель, и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя. Кроме того, для начала работы с применением симметричного алгоритма сторонам необходимо безопасно обменяться секретным ключом, что легко сделать при личной встрече, но весьма затруднительно при необходимости передать ключ через какие-либо средства связи. Схема работы с применением симметричного алгоритма шифрования состоит из следующих этапов. Стороны устанавливают на своих компьютерах программное обеспечение, обеспечивающее шифрование и расшифровку данных и первичную генерацию секретных ключей.

Генерируется секретный ключ и распространяется между участниками информационного обмена. Иногда генерируется список одноразовых ключей. В этом случае для каждого сеанса передачи информации используется уникальный ключ. При этом в начале каждого сеанса отправитель извещает получателя о порядковом номере ключа, который он применил в данном сообщении. Отправитель шифрует информацию при помощи установленного программного обеспечения, реализующего симметричный алгоритм шифрования, зашифрованная информация передается получателю по каналам связи. Получатель дешифрует информацию, используя тот же ключ, что и отправитель. Приведем обзор некоторых алгоритмов симметричного шифрования.

DES (Data Encryption Standard). Разработан фирмой IBM и широко используется с 1977 года. В настоящее время несколько устарел, поскольку применяемая в нем длина ключа недостаточна для обеспечения устойчивости к вскрытию методом полного перебора всех возможных значений ключа.

Triple DES. Это усовершенствованный вариант DES, применяющий для шифрования алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому, чем DES. Rijndael. Алгоритм разработан в Бельгии. Работает с ключами длиной 128, 192 и 256 бит. На данный момент к нему нет претензий у специалистов по криптографии. Skipjack. Алгоритм создан и используется Агентством национальной безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации производится циклически (32 цикла). IDEA. Алгоритм запатентован в США и ряде европейских стран. Держатель патента компания Ascom-Tech. Алгоритм использует циклическую обработку информации (8 циклов) путем применения к ней ряда математических операций. RC4. Алгоритм специально разработан для быстрого шифрования больших объемов информации. Он использует ключ переменной длины (в зависимости от необходимой степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам.

Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной подписи. ЭЦП служит не только для аутентификации отправителя сообщения, но и для проверки его целостности. При использовании ЭЦП для аутентификации отправителя сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования, а открытый - для дешифрования.

Алгоритм применения ЭЦП состоит из ряда операций. Генерируется пара ключей - открытый и закрытый. Открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи). Отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи. Получатель дешифрует сообщение открытым ключом отправителя.

По материалам отечественной прессы.

Введение ……………………………………………………… ………………..…3
1.Электронная коммерция и история ее развития…………………….............. ..5
1.1. История электронной коммерции…………………………………………...6
2. Безопасность электронной коммерции………………………………………..8
2.1. Риски и угрозы……………………………………………………….…… ...11
Заключение…………………………………………………… ………………….17
Список использованной литературы…………………………………………... 20

Введение

Глобальная сеть Internet сделала электронную коммерцию доступной для фирм любого масштаба. Если раньше организация электронного обмена данными требовала заметных вложений в коммуникационную инфраструктуру и была по плечу лишь крупным компаниям, то использование Internet позволяет сегодня вступить в ряды "электронных торговцев" и небольшим фирмам. Электронная витрина в World Wide Web дает любой компании возможность привлекать клиентов со всего мира. Подобный on-line бизнес формирует новый канал для сбыта - "виртуальный", почти не требующий материальных вложений. Если информация, услуги или продукция (например, программное обеспечение) могут быть поставлены через Web, то весь процесс продажи (включая оплату) может происходить в on-line режиме.
Под определение электронной коммерции подпадают не только системы, ориентированные на Internet, но также и "электронные магазины", использующие иные коммуникационные среды - BBS, VAN и т.д. В то же время процедуры продаж, инициированных информацией из WWW, но использующих для обмена данными факс, телефон и пр., могут быть лишь частично отнесены к классу электронной коммерции. Отметим также, что, несмотря на то, что WWW является технологической базой электронной коммерции, в ряде систем используются и другие коммуникационные возможности. Так, запросы к продавцу для уточнения параметров товара или для оформления заказа могут быть посланы и через электронную почту.
На сегодняшний день доминирующим платежным средством при on-line покупках являются кредитные карточки. Однако на сцену выходят и новые платежные инструменты: смарт-карты, цифровые деньги (digital cash), микроплатежи и электронные чеки.
Электронная коммерция включает в себя не только on-line транзакции. В область, охватываемую этим понятием, необходимо включить и такие виды деятельности, как проведение маркетинговых исследований, определение возможностей и партнеров, поддержка связей с поставщиками и потребителями, организация документооборота и пр. Таким образом, электронная коммерция является комплексным понятием и включает в себя электронный обмен данными как одну из составляющих.

Электронная коммерция и история ее развития

Электронная коммерция – вид хозяйственной деятельности по продвижению товаров и услуг от производителя к потребителю через электронные компьютерные сети. Другими словами, электронная коммерция – маркетинг, приобретение и продажа товаров и услуг через компьютерные сети, в основном сеть Интернет. Электронная коммерция предоставляет новые возможности для повышения эффективности коммерческой деятельности в целом.
В отличии от традиционной коммерции электронная коммерция предоставляет следующие возможности компаниям:
А) Продавать свою продукцию через Интернет;
Б) Развивать и координировать отношения с потребителями и поставщиками;
В) Обмениваться электронным путем товарами и услугами;
Г) Уменьшить цену на доставку цифровых продуктов и на послепродажную поддержку покупателя;
Д) Быстро реагировать на изменения рынка;
Е) Снизить накладные расходы;
Ж) Улучшать обслуживание клиентов и внедрять собственные сервисы для покупателей;
З) Расширять круг потребителей;
И) Учитывать индивидуальные нужды покупателя;
Покупателям электронная коммерция позволяет:
А) Покупать товар в любое время и в любом месте;
Б) Провести сравнительный анализ цен и выбрать лучшую;
В) Получить одновременно доступ к широкому ассортименту товаров;
Г) Выбирать удобные механизмы для совершения покупок;
Д) Получать информацию и новости в зависимости от своих предпочтений.
1.1 История электронной коммерции

Первые системы электронной коммерции появились в 1960 –х годах в США. Они применялись в транспортных компаниях для обмена данными между различными службами при подготовке рейсов и для заказа билетов.
Первоначально такая коммерция велась с использованием сетей, не входящих в сеть Интернет, по специальным стандартам электронного обмена данными между организациями.
К концу 1960-х годов в США существовало четыре индустриальных стандарта для обмена данными в различных транспортных компаниях. Для объединения этих стандартов в 1968 г. был создан специальный Комитет согласования транспортных данных. результаты работы легли в основу нового EDI- стандарта.
В 1970-е годы аналогичные события происходили в Англии. В этой стране главной областью применения EDI был не транспорт, а торговля. Выбранный здесь набор спецификаций Tradacoms был принят Европейской экономической комиссией ООН в качестве стандарта обмена данными в международных торговых организациях.
В 1980-х годах начались работы по объединению европейских и американских стандартов. В результате этой работы на 42-й сессии Рабочей группы по упрощению процедур международной торговли в сентябре 1996 г. была принята Рекомендация № 25 «Использование стандарта Организации Объединенных Нации для электронного обмена данными в управлении, торговле и на транспорте».
Таким образом. В начале 1990-х годов появился стандарт EDI-FACT, принятый ISO (ISO 9735).
Но окончательное слияние американского и европейского стандартов не произошло. Для электронного обмена данными появилась новая, более перспективная возможность – обмен данными через Интернет.
Развитие интернета с его низкой себестоимостью передачи данных сделало актуальной модернизацию EDI систем. В результате в середине 1990 годов был разработан еще один стандарт – EDIFACT over Internet (EDIINT), описывающий как передавать EDI – транзакцию посредством протоколов безопасной электронной почты SMTP/S-MIME.
Для возникновения и роста популярности электронной коммерции существует ряд демографических и технологических предпосылок, таких, как:
а) широко распространенный доступ к информационным технологиям, в частности компьютерам и интернету;
б) повышение уровня образования общества и, следовательно, более свободное обращение с технологиями;
в) технический прогресс и цифровая революция сделали возможным взаимодействие между собой многих цифровых устройств, например компьютера, мобильного телефона, и другое;
г) глобализация, открытая экономика, конкуренция в глобальном масштабе;
д) доступность электронной коммерции для кого угодно, в какое угодно время, и в каком угодно месте.
е) стремление к экономии времени;
ж) рост ассортимента товаров и услуг, возрастание спроса на специальные товары и услуги.

Безопасность электронной комме рции.

Одной из основных проблем электронной коммерции на сегодняшний день остается проблема безопасности, т.е. сведение к минимуму рисков и защита информации.
Причинами нарушения нормального функционирования компании в сети Интернет могут быть: компьютерные вирусы, мошенничество, приводящее к финансовым убыткам; кража конфиденциальной информации; незаконное вмешательство в файлы с конфиденциальной информацией о потребителях и т.п.
Степень защиты веб – сайта электронной компании зависит от уровня секретности его информации и потребностей в ее соблюдении. Так, например, если на сайте вводятся номера кредитных карточек, то необходимо обеспечить наиболее высокую степень защиты веб – сервера.
Задачи соблюдения безопасности в электронной коммерции сводятся к аутентификации пользователей, соблюдению конфиденциальности и целостности информации: аутентификация – проверка подлинности пользователя; конфиденциальность – обеспечение сохранения частной информации, предоставленной пользователем; целостность информации – отсутствие искажений в передаваемой информации.
Угрозой нарушения целостности информации на веб - сервере могут выступать хакеры и вирусы.
Хакер проникает на слабо защищенные компьютеры и серверы и устанавливает специальные программы – невидимки, которые достаточно трудно обнаруживаются. Обычно такая программа – невидимка не наносит вреда веб – сайту, но создает большую перегруженность в сети. Хакер определяет цель своего нападения и активизирует заранее установленную программу, посылая команду через Интернет на несколько компьютеров. С этого начинается атака, которая приводит к перегруженности сети коммерческого предприятия.
Еще одним серьезным видом нарушения безопасности компьютеров и серверов в Интернете является вирус. Вирусы нарушают целостность системы и вводят в заблуждение средства защиты информации. Наилучшим средством защиты от вирусов является установка и периодическое обновление антивирусных программ, а так же использование брандмауэров. Брандмауэр – это фильтр, устанавливаемый между корпоративной сетью и сетью интернет для защиты информации и файлов от несанкционированного доступа и для разрешения доступа только уполномоченным лицам. Таким образом, брандмауэр препятствует проникновению компьютерных вирусов и доступу хакеров в сеть предприятия и защищает ее от внешнего воздействия при подключении к Интернету.
При внедрении электронной коммерции одним из важнейших вопросов становиться конфиденциальность информации. Информация, предоставляемая пользователем компании, должна быть надежно защищена. Одним из способов обеспечения безопасной и конфиденциальной передачи данных по компьютерным сетям является криптография, т.е. шифрование или кодирование данных таким образом, чтобы прочитать их могли только стороны, участвующие в конкретной операции.
При шифровании отправитель сообщения преобразует текст в набор символов, который не возможно прочитать без применения специального ключа, известного получателю. Ключ к шифру представляет собой последовательность символов, сохраненных на жестком диске компьютера или на дискете. Степень защищенности информации зависит от алгоритма шифрования и длины ключа, измеряемой в битах.
Существует два вида алгоритмов шифрования:

симметричные, в которых один и тот же ключ, известный обеим сторонам, используется и для шифрования, и для дешифрования информации;
асимметричные, в которых используется два ключа, один – для шифрования, второй для дешифрования. Один из таких ключей является закрытым (секретным), второй открытым (общедоступным).

Одним из наиболее известных и перспективных способов аутентификации отправителя сообщений является электронная цифровая подпись (ЭЦП) – электронный эквивалент собственноручной подписи. В первые ЭЦП была предложена в 1976 году Уитфилдом Дифи из Станфордского университета. Федеральный закон Российской Федерации «об электронной цифровой подписи» сказано, что электронная цифровая подпись реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а так же установить отсутствие искажения информации в электронном документе.
Процесс применения электронной цифровой подписи выглядит следующим образом:
1. отправитель создает сообщение и шифрует его своим закрытым ключом, который в то же время является электронной цифровой подписью отправителя. При этом шифруется как сам текст общения так и ЭЦП, присоединенная в конце документа.
2. отправитель передает зашифрованное письмо и свой открытый ключ по каналам связи получателю;
3. получатель дешифрует сообщение открытым ключом отправителя.
4. совместно с ЭЦП обычно применяют одну из существующих ХЭШ - функций. ХЭШ - функция формирует строку символов, называемую сводкой сообщения, в процессе обработки сообщения. Отправитель создает сводку сообщения, шифрует ее и так же пересылает получателю. Получатель обрабатывает сообщение той же ХЭШ – функцией и то же получает сводку сообщения. Если обе сводки сообщения совпадает, то сообщение было получено без искажения.
5. для подтверждения принадлежности открытого ключа какому - либо конкретному лицу или коммерческому предприятию служат цифровые сертификаты. Цифровой сертификат – документ, выдаваемый центром сертификации, для подтверждения подлинности конкретного лица или предприятия путем проверки его имени и открытого ключа. Для получения цифрового сертификата надо обратится в центр сертификации и предоставить необходимые сведения. Каждый центр сертификации устанавливает свои цены и, как правило, выдает цифровой сертификат на год с возможностью продления после оплаты за следующий год.
Для решения вопросов безопасности в компаниях электронной коммерции используются протокол SSL и технология SET.
Протокол SSL – основной протокол, используемый для защиты данных, передаваемых по сети Интернет. Этот протокол основан на комбинации алгоритмов ассиметричного и симметричного шифрования. Он обеспечивает три основные функции: аутентификацию сервера, аутентификацию клиента и шифрованное соединение по протоколу SSL.
Протокол SET – протокол, используемый для трансакции между коммерческими банками и кредитными картами клиентов.

Риски и угрозы

Любой бизнес связан с рисками, возникающими вследствии конкуренции, воровства, неустойчивости общественных предпочтений, стихийных бедствий и т.д. Однако, риски, связанные с электронной коммерцией, свои особенности и источники, среди которых:
Взломщики.
Невозможность привлечения компаньонов.
Отказы оборудования.
Сбои питания, коммуникационных линий или сети.
Зависимость от служб доставки.
Интенсивная конкуренция.
Ошибки программного обеспечения.
Изменения в политике и налогообложении.
Ограниченная пропускная способность системы.

Взломщики
Наиболее популяризованная угроза электронной коммерции исходит от компьютерных злоумышленников - взломщиков. Любое предприятие подвержено угрозе нападения преступников, крупные же предприятия электронной коммерции привлекают внимание компьютерных взломщиков разного уровня квалификации.
Причины этого внимания различны. В одних случаях это просто "чисто спортивный интерес", в других желание навредить, похитить деньги или бесплатно приобрести товар или услугу.
Безопасность сайта обеспечивается сочетанием следующих мер:
Резервное копирование важной информации.
Кадровая политика, позволяющая привлекать к работе только добросовестных людей и стимулировать добросовестность персонала. Наиболее опасные попытки взлома, исходящие изнутри компании.
Использование программного обеспечения с возможностями защиты данных и своевременное его обновление.
Обучение персонала идентификации целей и распознанию слабых мест системы.
Аудит и ведение журналов с целью обнаружения успешных и неудачных попыток взлома.
Как правило, взлом удается по причине легко угадываемого пароля, распространенных ошибок в конфигурации и несвоевременного обновления версий программного обеспечения. Для защиты от неслишком изощренного взломщика достаточно принятия относительно простых мер. На крайний случай, всегда должна иметься резервная копия критичных данных.

Невозможность привлечения компаньонов
Хотя атаки взломщиков вызывают наибольшие опасения, однако большинство неудач в области электронной коммерции все же связано с традиционными экономическими факторами. Создание и маркетинг крупного сайта электронной коммерции требует немалых средств. Компании предпочитают краткосрочные инвестиции, предлагая немедленный рост числа клиентов и доходов после утверждения торговой марки на рынке.
Крах электронной коммерции привел к разорению множество компаний, которые специализировались только на ней.

Отказы оборудования
Совершенно очевидно, что отказ важной части одного из компьютеров компании, деятельность которой сосредоточена в веб, может нанасти ей существенный ущерб.
Защита от простоя сайтов, работающих под высокой нагрузкой или выполняющих важные функции, обеспечивается дублированием, благодаря чему выход из строя любого компонента не сказывается на функциональность всей системы. Однако и здесь необходимо оценить потери от возможных простоев в сравнении с расходами на приобретение дополнительного оборудования.
Множество компьютеров, на которых выполняются Apache, PHP и MySQL, относительно просты в настройке. Кроме того, механизм репликации MySQL позволяет выполнять общую синхронизацию информации в базах данных. Тем не менее, большое число компьютеров означает и большие затраты на поддержание оборудования, сетевой инфраструктуры и хостинга.
Сбои питания, коммуникационных линий, сети и службы доставки
Зависимость от Интернет означает зависимость от множества взаимосвязанных поставщиков услуг, поэтому, если связь с остальным миром вдруг обрывается, не остается ничего иного, как ждать ее восстановления. Это же относится к перебоям в электропитании и забастовками или иными перебоям в электропитании и забастовками или иным перебоям в работе компании, занимающейся доставкой.
Располагая достаточным бюджетом, можно иметь дело с несколькими поставщиками услуг. Это влечет дополнительные расходы, однако обеспечивает бесперебойность работы в условиях отказа одного из них. От крайних перебоев в электропитании можно защищаться установкой источников бесперебойного питания.

Интенсивная конкуренция
В случае открытия киоска на улице оценка конкурентной среды не составляет особого труда - конкурентами будут все, кто торгует тем же товаром в пределах видимости. В случае электронной коммерции ситуация несколько сложнее.
В зависимости от расходов на доставку, а также учитывая колебания курсов валют и различий в стоимости рабочей силы, конкуренты могут располагаться где угодно. Интернет - в высшей степени конкурентная и активно развивающаяся среда. В популярных отраслях бизнеса новые конкуренты возникают почти ежедневно.
Риск, связанный с конкуренцией, с трудом поддается оценке. Здесь наиболее верная стратегия - поддержка современного уровня технологии.

Ошибки программного обеспечения
Когда коммерческая деятельность зависит от программного обеспечения, она уязвима к ошибкам в этом программном обеспечении.

Вероятность критических сбоев можно свести к минимуму за счет установки надежного программного обеспечения, nxfntkmyjuj тестирования после каждого случая замены неисправного оборудования и применения формальных процедур тестирования. Очень важно сопровождать тщательным тестированием любые нововведения в систему.
Для уменьшения вреда, наносимого сбоями программного обеспечения, следует своевременно создавать резервные копии всех данных. При внесении каких-либо изменений необходимо сохранить преждние конфигурации программ. Для быстрого обнаружения возможных неисправностей требуется вести постоянный мониторинг системы.

Изменения в политике налогообложения
Во многих странах деятельность в сфере электронного бизнеса не определена, либо недостаточно определена законодательно. Однако такое положение не может сохраняться вечно, и урегулирование вопроса приведет к возникновению ряда проблем, способных повлечь закрытие некоторых предприятий. К тому же всегда существует опасность повышения налогов.
Этих проблем избежать невозможно. В этой ситуации единственной разумной линией поведения будет внимательное отслеживание ситуации и приведение деятельности предприятия в соответствии с законодательством. Следует также изучить возможность лоббирования собственных интересов.

Ограниченная пропускная способность системы
На этапе проектирования системы обязательно следует просмотреть возможность ее роста. Успех неразрывно связан с нагрузками, поэтому система должна пускать наращивание оборудования.
Ограниченного роста производительности можно достичь заменой оборудования, однако скорость даже самого совершенного компьютера имеет предел, поэтому в программном обеспечении должна быть предусмотрена возможность при достижении указанного предела распределять нагрузку по нескольким системам. Например, система управления базами данных должна обеспечить одновременную обработку запросов от нескольких машин.
Наращивание системы не проходит безболезненно, однако своевременное его планирование на этапе разработки позволяет предвидеть многие неприятности, связанные с увеличением количества клиентов, и заранее их предупреждать.

Заключение
Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объёму информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьёзных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.
Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:
Могут ли хакеры разрушить внутренние системы?
Может ли быть скомпрометирована (изменена или прочитана) важная информация организации при её передаче по Интернету?
Можно ли помешать работе организации?
Всё это - важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении лёгкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.
Цель политики безопасности для Интернета - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы (которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.
Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это - технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.
Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.
Интернет - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьёзных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.
Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищённая сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:
Лёгкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.
Уязвимость средств TCP/IP - ряд средств TCP/IP не был спроектирован быть защищёнными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.
Отсутствие политики - многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.
Сложность конфигурирования - средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Список использованной литературы
1. Материалы с сервера информационных технологий-http://www. citforum.ru
2. Что такое электронная коммерция? В. Завалеев, Центр Информационных Технологий. http://www.citforum.ru/ marketing/articles/art_1.shtml
3. http://www.proms.ru/book- wicommerce_theory.html
4. Кантарович А.А., Царев В.В. Учебники для вузов: Электронная коммерция 2002 г. , 320 Стр.