Реферат
на тему:
«Безпека електронного бізнесу»
Виконала
Студентка 1 курсу ОЕФ, 12 гр
Лазар Ольга
Перевірила
Викладач
Аліса Юріївна
Електронний бізнес - це перетворення основних бізнес-процесів компанії шляхом впровадження інтернет-технологій, націлене на підвищення ефективності діяльності. Електронним бізнесом є всяка ділова активність, що використовує можливості глобальних інформаційних мереж для перетворення внутрішніх і зовнішніх зв'язків компанії. З технічної точки зору, інтернет це всесвітнє об'єднання комп'ютерних мереж, якій можуть пов'язувати комп'ютери всередині підприємства, яка називається інтранет, або ж об'єднання локальних мереж різних підприємств, яке називається екстранет.
Електронний бізнес являє собою будь-яку транзакцію, досконалу за допомогою мережі, по завершенню якої відбувається передача права власності товарів або послуг. Транзакція - банківська операція з переказу грошових коштів для будь-якої мети.
Область застосування електронного бізнесу: 1) фінансові операції в інтерактивному режимі. До них належать операції з банківським продуктом, операції зі страховим продуктом, інтерактивне інвестування, спекулятивні операції з валютою і цінними паперами. 2) ринки електронної торгівлі. До них відносятьсяторгівля через візуальні магазини, торгівля інформаційним продуктом, торгівля туристичним продуктом. 3) ринки мобільної торгівлі. Це торгівля через торговельні автомати і ринки торговельних послуг.
|
|
Безпека електронного бізнесу
На думку експертів, розвиток електронного бізнесу багато в чому визначається прогресом у галузі інформаційної безпеки, під якою розуміється стан стійкості інформації до випадкових чи навмисних впливів, що виключає неприпустимий ризик її знищення, спотворення і розкриття, які призводять до ма-теріальних збитків власника чи користувача інформації.
Для одержання доступу до інформації користувач повинен пройти процедури аутентифікації (встановлення особистості) і авторизації (визначення прав доступу). Крім того, сам сервер також повинен бути аутентифікований користувачем.
Основні завдання при досягненні безпеки інформації поляга-ють у забезпеченні ЇЇ доступності, конфіденційності, цілісності і юридичній значимості. Кожна загроза повинна розглядатися з по-гляду того, наскільки вона може торкнутися цих чотирьох влас-тивостей або якості безпечної інформації. Конфіденційність оз-начає, що інформація обмеженого доступу повинна бути доступ-на тільки тому, кому вона призначена. Під цілісністю інформації розуміється її властивість існування в неспотвореному вдгляді. Доступність інформації визначається здатністю системи забез-печувати своєчасний безперешкодний доступ до інформації для суб'єктів, які мають на це належні повноваження. Юридична зна-чимість інформації здобуває дедалі більшу важливість у резуль-таті створення нормативно-правової бази безпеки інформації в нашій країні.
Безпека будь-якої системи електронного бізнесу полягає в захисті від різного роду втручань у ЇЇ дані. Усі ці втручання мож-на умовно розділити на кілька категорій:
розкрадання даних (наприклад, розкрадання номерів кредитних карт із бази даних);
втручання (наприклад, перевантаження даними сайта, не призначеного для такого великого обсягу інформації);
перекручування даних (наприклад, зміна сум у файлах платежів і рахунків-фактур чи створення неіснуючих сер-тифікатів);
руйнування даних (наприклад, при передачі користува-чу і назад);
відмова від виконаних дій (наприклад, від факту оформ-лення замовлення чи одержання товару);
ненавмисне неправильне використання засобів сайта ко-ристувачем;
несанкціонований доступ до інформації (несанкціонова-не копіювання, відновлення або інше використання даних, про-ведення несанкціонованих трансакцій, несанкціонований пере-глятт чи пеоедача даних).
|
|
При цьому необхідно враховувати, що при забезпеченні без-пеки електронного бізнесу є ряд об'єктивних проблем - приско-рений розвиток технології! стосовно удосконалювання законо-давчої бази, складність упіймання зловмисників на місці злочи-ну, можливість безслідного знищення доказів і слідів злочинів і т.п. Усе це обумовлює необхідність ретельної розробки ком-паніями політики захисту свого електронного бізнесу.
Забезпечення безпеки електронного бізнесу ускладнюється наявністю безлічі готових і зроблених на замовлення програм-них додатків від різних постачальників і значної кількості зовнішніх послуг, надаваних провайдерами і бізнес-партнерами. Значна частина цих компонентів і послуг звичайно непрозорі для ІТ-фахівців компаній-замовників, крім того, багато з них ча-сто модифікуються й удосконалюються їхніми творцями. Усе це ускладнює їх ретельну перевірку на предмет потенційних де-фектів захисту.
Для захисту від зовнішнього вторгнення сьогодні існує безліч систем, які є різного роду фільтрами, що допомагають ви-явити спроби несанкціонованого втручання на ранніх етапах і по можливості не допустити зловмисників у систему через зовнішні мережі. До таких засобів належать:
маршрутизатори - пристрої керування трафіком мережі, розташовані між мережами другого порядку і керують вхідним та вихідним трафіком приєднаних до нього сегментів мережі;
брандмауери - засоби ізоляції приватних мереж від ме-реж загального користування, що використовують програмне забезпечення, яке відслідковує і припиняє зовнішні атаки на сайт за допомогою певного контролю типів запитів;
шлюзи додатків - засоби, за допомогою яких адміністра-тор мережі реалізує політику захисту, якою керуються маршру-тизатори, що здійснюють пакетну фільтрацію;
системи відстеження вторгнень - системи, які виявля-ють навмисні атаки і ненавмисне неправильне використання си-стемних ресурсів користувачами;
засоби оцінки захищеності (спеціальні сканери та ін.) -програми, які регулярно сканують мережу на предмет наявності проблем і тестують ефективність реалізованої політики безпеки.
Базовий набір інструментів для забезпечення інформаційної безпеки Web-вузлів, що користується довірою споживачів, ста-новлять технології SSL1 і SET2. Для аутентифікації використо-вується метод SSL, для шифрування даних - SET. Існує безліч альтернативних стандартів, однак вони вимагають узгодженості програмного забезпечення партнерів і застосовуваних процедур, Ідо призводить до підвищення складності і зростання витрат.
Протокол SSL, розроблений американською компанією Netscape Communications Corp., дозволяє серверу і клієнту пе-ред початком інформаційної взаємодії аутентифікувати чи про-вести перевірку дійсності один одного. Він призначений для розв'язання традиційних завдань забезпечення захисту інфор-маційної взаємодії, які у середовищі «клієнт-сервер» інтерпре-туються таким чином:
при підключенні користувач і сервер повинні бути взаємно впевнені, що вони обмінюються інформацією не з підставними абонентами, не обмежуючись паролевим захистом; після встановлення з'єднання між сервером і клієнтом весь інформаційний потік повинен бути захищений від не-санкціонованого доступу;
при обміні інформацією сторони повинні бути впевнені у відсутності випадкових чи навмисних спотворень при її пере-дачі.
Широке розповсюдження протоколу SSL пояснюється в першу чергу тим, що не є складовою частиною усіх відомих бра-узерів і Web-серверів.
Найрозповсюдженіший закордонний досвід вирішення пи-тань керування криптографічними ключами електронного доку-ментообігу ґрунтується на використанні інфраструктури відкритих ключів3. Цим терміном описується повний комплекс програмно-апаратних засобів і організаційно-технічних заходів, необхідних для використання технології з відкритими ключами.
Ця інфраструктура передбачає використання цифрових сертифікатів і розгорнутої мережі центрів сертифікації, які за-безпечують видачу і супровід цифрових сертифікатів для всіх учасників електронного обміну документами. За своїми функціями цифрові сертифікати аналогічні звичайній печатці, яка засвідчує підпис иа паперових документах.
|
|
Цифрові сертифікати містять відкриті криптографічні ключі абонентів, завірені електронним цифровим підписом центру сер-тифікації, і забезпечують однозначну аутентифікацію учасників обміну. Цифровий сертифікат - це певна послідовність бітів, за-снованих на криптографії з відкритим ключем, що представляє собою сукупність персональних даних власника і відкритого ключа його електронного підпису (при необхідності, і шифру-вання), зв'язаних у єдине незмінне ціле електронним підписом центру сертифікації. Цифровий сертифікат оформляється у ви-гляді файла або ділянки пам'яті і може бути записаний на диске-ту, інтелектуальну карту, елемент touch-memory, будь-який інший носій даних.
Цифрові сертифікати запобігають можливості підробок, від яких не застраховані існуючі віртуальні системи, Сертифікати також дають впевненість власнику карти і продавцю в тому, що їхні трансакції будуть оброблені з таким же високим рівнем за-хисту, що й традиційні трансакції.
За такою схемою розгортаються багато сучасних міжнародних систем обміну інформацією у відкритих мережах. Серед центрів сертифікації - відомі американські компанії Verisign і GTE.
Найбільш перспективний протокол чи стандарт безпечних електронних трансакцій у мережі Інтернет SET, призначений для організації електронної торгівлі через Інтернет. У багатьох країнах світу вже існує безліч державних, відомчих і корпоратив-них центрів сертифікації, які забезпечують ключове керування.
Відкритий стандартний багатосторонній протокол SET роз-роблений компаніями MasterCard і Visa за участю IBM, GlobeSet та інших партнерів. Він дозволяє покупцям здобувати товари через Інтернет за допомогою пластикових карток, вико-ристовуючи найзахищеніший нині механізм виконання платежів. SET забезпечує крос-аутентифікацію рахунка власника карти, продавця і банку продавця для перевірки готовності оп-лати, цілісність і таємність повідомлення, шифрування цінних і уразливих даних. Тому SET правильніше називати стандартною технологією чи системою протоколів виконання безпечних пла-тежів з використанням пластикових карт через Інтернет.
Обсяг потенційних продажів у галузі електронної комерції обмежується досягненням необхідного рівня безпеки інфор-мації, який забезпечують спільно покупці, продавці і фінансові інститути. На відміну від інших протоколів, SET дозволяє вирішувати базові завдання захисту інформації в цілому.
Зокрема, SET забезпечує такі спеціальні вимоги захисту операцій електронної комерції:
таємність даних оплати і конфіденційність інформації замовлення, переданої разом з даними про оплату;
збереження цілісності даних платежів, що забезпе-чується за допомогою цифрового підпису;
спеціальну криптографію з відкритим ключем для про-ведення аутентифікації;
аутентифікацію власника по кредитній картці із застосу-ванням цифрового підпису і сертифікатів власника карт;
аутентифікацію продавця і його можливості приймати платежі по пластикових картках із застосуванням цифрового підпису і сертифікатів продавця;
аутентифікацію банку продавця як діючої організації, яка може приймати платежі по пластикових картках через зв'язок із процесинговою картковою системою. Аутентифікація здійснюється з використанням цифрового підпису і сер-тифікатів банку продавця;
готовність оплати трансакцій у результаті аутен-тифікації сертифіката з відкритим ключем для всіх сторін;
безпека передачі даних за допомогою переважного вико-ристання криптографії.
Основна перевага SET полягає в застосуванні цифрових сертифікатів, що асоціюють власника карти, продавця і банк продавця з рядом банківських установ, які входять до платіжних систем Visa і MasterCard.
Крім того, протокол SET дозволяє зберегти існуючі відно-сини між банком, власниками карт, продавцями і може бути інтегрований в існуючі системи.
Інформаційна безпека часто залежить від так званого людського фактору, пов'язаного з тим, що системи електрон-ного бізнесу створюються, модернізуються і керуються людьми, і від їхньої чесності, професійних якостей і майстерності зале-жить довіра споживачів та загальний успіх усього підприємства.
|
|
Результати безлічі досліджень показують, що найбільше занепо-коєння в компаній викликає саме внутрішня загроза - навмисні чи ненавмисні дії власних працівників.
У проблемі захисту від внутрішніх загроз розрізняють два аспекти: технічний і організаційний. Технічний аспект полягає в прагненні виключити будь-яку імовірність несанкціонованого доступу до інформації. Для цього застосовуються такі засоби:
підтримка системи паролів та їх регулярна зміна;
надання мінімуму прав, необхідних для роботи в сис-темі;
наявність стандартних процедур своєчасної зміни груп доступу при кадрових змінах і негайному знищенні доступу після звільнення працівника.
Організаційний аспект полягає в розробці раціональної політики внутрішнього захисту, яка перетворює в рутинні опе-рації такі способи захисту і запобігання зламування:
введення загальної культури дотримання безпеки в ком-панії;
створення системи розподілу повноважень і колективної відповідальності;
тестування програмного забезпечення на предмет не-санкціонованого втручання;.
відстеження спроб несанкціонованого втручання і їхнє ретельне розслідування;
проведення періодичних тренінгів для персоналу з пи-тань безпеки і кіберзлочинності, які містять інформацію про конкретні ознаки зламувань для максимального розширення ко-ла працівників, які мають можливість виявити такі дії;
введення чітких процедур відпрацьовування випадків ненавмисної зміни чи руйнування інформації.