Borbirozturlaritahdidlaresavdo

· Tizimga tashqi tomondan kirish.

· Kompaniya ichida ruxsatsiz kirish.

Ma'lumotni qasddan ushlash va o'qish.

Ma'lumotlar yoki tarmoqlarni qasddan buzish.

· Foydalanuvchini noto'g'ri (firibgar maqsadlarda) identifikatsiya qilish.

· Hack dasturiy va apparat himoyasi.

· Bir tarmoqdan boshqasiga ruxsatsiz foydalanuvchiga kirish.

· Virusli hujumlar.

Xizmatdan bosh tortish.

Moliyaviy moliyaviy firibgarliklar.

Ushbu tahdidlarga qarshi turishda turli texnologiyalarga asoslangan turli xil usullardan foydalaniladi, xususan: shifrlash - ma'lumotlarni o'qish yoki buzilishlarga xalaqit beradigan shifrlash; jo'natuvchi va oluvchining shaxsini tasdiqlovchi raqamli imzolar; elektron kalitlardan foydalangan holda yashirin texnologiyalar; Xavfsizlik devorlari virtual va xususiy tarmoqlar.

Himoya usullarining hech biri universal emas, masalan, xavfsizlik devori viruslarni tekshirmaydi va ma'lumotlarning yaxlitligini ta'minlay olmaydi. Avtomatik himoyani buzishga qarshi mutlaqo ishonchli usul yo'q va uni buzish vaqt masalasidir. Ammo bunday himoyani buzish vaqti, o'z navbatida, uning sifatiga bog'liq. Aytishim kerakki, Internetda ulanishlar va ilovalarni himoya qiladigan dasturiy ta'minot uzoq vaqtdan beri ishlab chiqilgan, garchi yangi texnologiyalar biroz notekis joriy etilayotgan bo'lsa ham.

Qaysi tahdidlarelektron tijorat kompaniyasini jalb qilish yoqilganhar biribosqichi:

· Elektron do'kon serverining veb-sahifasini almashtirish (boshqa serverga so'rovlarni yuborish), mijoz to'g'risida, ayniqsa uning kredit kartalari to'g'risidagi ma'lumotlarni uchinchi shaxslarga taqdim etish;

Elektron do'kon xodimlari tomonidan soxta buyruqlar va firibgarlikning turli shakllari, masalan, ma'lumotlar bazalarini boshqarish (statistika shuni ko'rsatadiki, kompyuter buzilishlarining yarmidan ko'pi o'z xodimlarining faoliyati bilan bog'liq);

· Elektron tijorat tarmoqlari orqali uzatiladigan ma'lumotni qo'lga olish;

Buzg'unchilarning kompaniyaning ichki tarmog'iga kirib borishi va elektron do'kon tarkibiy qismlarining buzilishi;

· Xizmatlarga hujumlarni rad etish va elektron tijorat saytining ishlashini yoki ishlamay qolishini amalga oshirish. Bunday tahdidlarni amalga oshirish natijasida kompaniya mijozlarning ishonchini yo'qotadi, potentsial va / yoki nomuvofiq bitimlardan pul yo'qotadi, elektron do'konning faoliyatini buzadi va o'z faoliyatini tiklashga vaqt, pul va inson resurslarini sarflaydi.

Albatta, Internet orqali uzatiladigan ma'lumotni ushlab qolish bilan bog'liq tahdidlar elektron tijorat uchun xos emas. Ikkinchisiga nisbatan uning ahamiyati shundan iboratki, uning tizimlari muhim iqtisodiy ahamiyatga ega ma'lumotlarni uzatadi: kredit kartalari raqamlari, hisob raqamlari, shartnomalar mazmuni va boshqalar.

Bir qarashda, har qanday bunday voqea elektron biznesning ma'lum bir sub'ektining ichki ishi ekanligi ko'rinishi mumkin. Ammo, 2000 yilni eslaylik, bu butun dunyo bo'ylab faoliyati Yahoo !, eBay, Amazon, Buy, CNN, ZDNet, Datek va E * Trade kabi etakchi elektron biznes-serverlarning ommaviy ishdan chiqish holatlari bilan nishonlandi. FBR tomonidan o'tkazilgan tekshiruv shuni ko'rsatdiki, amalga oshirilgan DoS hujumlari natijasida ularga yuborilgan xizmatlarga bo'lgan talablarning ko'payishi sababli ushbu serverlar ishlamayapti. Masalan, "Xarid qilish" serveriga so'rovlar oqimi u1089 o'rtacha qiymatidan 24 baravar, cheklov esa 8 baravar oshdi. Turli hisob-kitoblarga ko'ra, ushbu aktsiyalardan Amerika iqtisodiyotiga etkazilgan iqtisodiy zarar bir yarim milliard belgini tashkil qiladi.

Xavfsizlik nafaqat shart   elektron biznesning muvaffaqiyatli olib borilishi, shuningdek, pudratchilar o'rtasidagi ishonchli munosabatlar uchun asosdir. Elektron biznesning mohiyati faol ma'lumot almashishni, himoyalanmagan umumiy foydalanish tarmog'i orqali tranzaktsiyalar olib borishni nazarda tutadi, bu esa xo'jalik yurituvchi subyektlar o'rtasidagi o'zaro munosabatlarga ishonmasdan amalga oshirib bo'lmaydi. Shuning uchun xavfsizlik juda murakkab, jumladan Web-serverlarga va veb-ilovalarga kirish, foydalanuvchilarni autentifikatsiya qilish va avtorizatsiya qilish, ma'lumotlar yaxlitligi va maxfiyligini ta'minlash, elektron raqamli imzolarni joriy qilish va boshqalar.

Internetning tijoratlashtirilishi oshib borishi bilan tarmoq orqali uzatiladigan ma'lumotni himoya qilishga ko'proq e'tibor berilmoqda. Internet orqali xavfsiz o'zaro aloqalarni tashkil qilish uchun mo'ljallangan maxsus protokollar (masalan, SET, SOCKS5, SSL, SHTTP va boshqalar) butun dunyo bo'ylab tan olingan va xorijiy ishlab chiquvchilar tomonidan Internetga asoslangan bank va savdo elektron tizimlarini yaratishda muvaffaqiyatli qo'llanilmoqda. Internet Security Task Force (ISTF) mustaqil konsorsiumi - ommaviy axborot vositalarini etkazib beruvchi kompaniyalar vakillari va ekspertlaridan iborat jamoat tashkiloti - elektron biznesning axborot xavfsizligi muammolari bilan shug'ullanadi. xavfsizlik, elektron biznes va Internet-provayderlar.

ISTF konsorsiumi ta'kidlaydi o'n ikkisohalarima'lumotlixavfsizlikelektron biznesni tashkillashtiruvchilarning diqqatini birinchi navbatda nimalarga qaratish kerak:

Aniqlanadigan ma'lumotni ob'ektiv tasdiqlash mexanizmi

Shaxsiy, shaxsiy ma'lumotlarga bo'lgan huquq;

Xavfsizlik hodisalarini aniqlash;

Korporativ perimetrni himoya qilish;

Hujumlarning ta'rifi;

U1086 potentsial xavfli tarkibni boshqarish;

Kirish huquqini boshqarish;

Ma'muriyat;

Voqealarga munosabat.

Elektron raqamli imzo (ERI) algoritmlaridan foydalanish ko'plab tahdidlardan ishonchli tarzda himoyalanganligi ma'lum, ammo bu algoritmlar ovozli o'zaro ta'sir protokollariga, qonuniy asosga ega bo'lgan munosabatlar dizayni va mantiqiy yopiq ishonch tizimiga bog'langan taqdirdagina to'g'ri bo'ladi.

Axborot xavfsizligining asosi raqamli imzoni hisoblash jarayonlarining oddiy mantig'i va uni tegishli kalitlar yordamida tekshirishdir, ammo mantiq asosiy matematik izlanishlarga asoslanadi. Raqamli imzoni faqat shaxsiy kalit egasi hisoblay oladi va shaxsiy kalitga mos keladigan ochiq kalitga ega bo'lgan har kim uni tekshirishi mumkin.

Albatta, axborot xavfsizligini ta'minlashga ushbu sohadagi mutaxassislar jalb qilinishi kerak, ammo idoralar rahbarlari davlat hokimiyati, mulkchilik shaklidan qat'i nazar, korxonalar va muassasalar, ma'lum bir xo'jalik yurituvchi sub'ektlarning iqtisodiy xavfsizligi uchun javobgar bo'lib, ushbu masalalarni doimiy ravishda o'zlarining qarashlarida tutishlari kerak. Quyida ular uchun asosiyfunktsionaltarkibiy qismlargatashkiloto'rnatilgantizimi ma'lumotlixavfsizlik:

Aloqa protokollari;

Kriptografiya vositalari;

Jamoat tarmoqlaridan ish joylariga kirishni boshqarish vositalari;

Antivirus komplekslari;

· Hujumlarni aniqlash va audit dasturlari;

· Kirishni boshqarishning markazlashtirilgan boshqarish vositalari, shuningdek ochiq tarmoqlar orqali har qanday dasturlarning ma'lumot paketlari va xabarlari bilan xavfsiz almashinuvi.

Internetda uzoq vaqtdan beri bir qator qo'mitalar mavjud bo'lib, ular asosan standartlashtirish jarayoni orqali taklif qilingan texnologiyalarni sinchkovlik bilan olib boradigan ko'ngilli tashkilotlar tomonidan mavjud. Internet Engineering Task Force (IETF) asosiy qismini tashkil etuvchi ushbu qo'mitalar Internetda qabul qilinishini tezlashtiradigan bir nechta muhim protokollarni standartlashtirdilar.

Ma'lumot uzatish uchun TCP / IP oilasi, SMTP (Simple Mail Transport Protocol) va elektron pochta uchun POP (Post Office Protocol) va tarmoqni boshqarish uchun SNMP (Simple Network Management Protocol) kabi protokollar IETF harakatlarining bevosita natijasidir. Amaldagi himoya mahsulotining turi kompaniyaning ehtiyojlariga bog'liq.

Internet xavfsiz ma'lumotlarni uzatish protokollari uchun mashhurdir, ya'ni SSL, SET, IP v.6. Ro'yxatdagi protokollar Internetda nisbatan yaqinda paydo bo'ldi, chunki qimmatli ma'lumotlarni himoya qilish zarurati paydo bo'ldi va darhol de-fakto standartlarga aylandi.

Eslatib o'tamiz, Internet bir necha o'n yillar oldin ilmiy ahamiyatga ega bo'lmagan ma'lumot almashish uchun yaratilgan. Afsuski, Rossiyada ular maxfiy ma'lumotlarni uzatish, qayta ishlash va saqlash bilan bog'liq bo'lgan faoliyat sohalariga Internetni kiritish imkoniyatidan hali ham juda ehtiyot bo'lishadi. Bunday ehtiyotkorlik nafaqat ichki moliyaviy institutlarning konservatizmi, Internetning ochiqligi va undan foydalanish imkoniyatidan qo'rqish bilan izohlanadi, balki qisman G'arb ishlab chiqaruvchilarining axborot xavfsizligi dasturlari bizning bozorimizga ularda amalga oshirilgan kriptografik algoritmlarga nisbatan eksport cheklovlari bilan kirib borishi bilan izohlanadi. Masalan, WWW serverlari va Microsoft va Netscape Communications kabi ishlab chiqaruvchilarning brauzerlari uchun dasturiy ta'minotning eksport versiyalarida SSL protokoli tomonidan ishlatiladigan bitta kalitli va ikki kalitli shifrlash algoritmlari uchun kalit uzunligiga cheklovlar mavjud, bu esa Internetdan foydalanishda to'liq himoyani ta'minlamaydi.

Shu bilan birga, elektron tijorat dasturlari, ichki tahdidlardan tashqari, Internet tashqi xavfga ham duch keladi. Va har bir noma'lum mehmonga alohida kirish identifikatorini tayinlash mantiqiy emas (chunki dastur bir vaqtning o'zida ko'paymaydi), kompaniyalar autentifikatsiyaning boshqa turlaridan foydalanishlari kerak. Bundan tashqari, siz hujumlarni qaytarish uchun serverni tayyorlashingiz kerak. Va nihoyat, kritik ma'lumotlarga nisbatan, masalan, kredit karta raqamlariga nisbatan juda ehtiyot bo'lish kerak. Ma'lumotni shifrlash Ish veb-sayti maxfiy ma'lumotlarni qayta ishlaydi (masalan, iste'molchilarning kredit kartalari raqamlari). Bunday ma'lumotlarning hech qanday himoyasiz Internet orqali uzatilishi tuzatib bo'lmaydigan oqibatlarga olib kelishi mumkin. Har kim translyatsiyani eshitishi va shu tariqa maxfiy ma'lumotlarga ega bo'lishi mumkin. Shuning uchun ma'lumotlar shifrlangan va xavfsiz kanal orqali uzatilishi kerak. Xavfsiz ma'lumotlarni uzatish uchun SecureSockets Layer (SSL) protokoli qo'llaniladi. Ushbu funktsiyani amalga oshirish uchun siz raqamli sertifikatni sotib olishingiz va uni serverga o'rnatishingiz kerak. Raqamli sertifikat uchun sertifikatlashtirish organlaridan biriga murojaat qilishingiz mumkin. Taniqli tijorat sertifikatlash tashkilotlari tarkibiga quyidagilar kiradi: VerySign, CyberTrust, GTE. SSL HTTP (agar u xavfsiz bo'lsa, HTTPS deb nomlanadi), FTP va NNTP kabi protokollar uchun sxema. Ma'lumot uzatish uchun SSL-dan foydalanganda:

Ma'lumotlar shifrlangan;

· Dastur serveri va maqsad serveri o'rtasida

· Xavfsiz ulanish;

· Server autentifikatsiyasi yoqilgan.

Foydalanuvchi SSL-dan foydalanib, kredit karta raqamini yuborganda, ma'lumotlar darhol shifrlanadi, shunda xaker ularning tarkibini ko'ra olmaydi. SSL tarmoq protokoli mustaqil. Netscape server dasturi shuningdek autentifikatsiya - sertifikatlar va raqamli imzolarni ta'minlaydi, foydalanuvchi identifikatori va xabarlarning yaxlitligini tekshiradi va xabar o'z yo'nalishini o'zgartirmasligini ta'minlaydi. Autentifikatsiya qilish ma'lumot almashish va moliyaviy operatsiyalarni amalga oshirishda qatnashadigan hujjatlarning haqiqiyligini tekshirish uchun foydalanuvchining identifikatorini va elektron raqamli imzoni tekshirishni o'z ichiga oladi. Elektron raqamli imzo - soxtalashtirishni oldini olish uchun hujjatga biriktirilishi mumkin bo'lgan ma'lumotlar.