Османов, А. А. Анализ проблем обеспечения информационной безопасности электронной коммерции / А. А. Османов, Д. Е. Юдин, М. Г. Тринкин, В. В. Науменко. — Текст : непосредственный // Технические науки: проблемы и перспективы : материалы III Междунар. науч. конф. (г. Санкт-Петербург, июль 2015 г.). — Санкт-Петербург : Свое издательство, 2015. — С. 99-101. — URL: https://moluch.ru/conf/tech/archive/126/8481/ (дата обращения: 05.06.2023).
Электронная коммерция включает в себя все формы деловых сделок, при которых взаимодействие сторон осуществляется электронным способом, в результате которого право собственности передается от одного лица к другому. Существует несколько видов электронной коммерции: бизнес-бизнес (торговля между предприятиями), бизнес-потребитель (торговля между потребителем и предприятием) и потребитель-потребитель (торговля между потребителями). Электронная коммерция реализуется при помощи электронных торговых площадок, которые имеют ряд проблем, связанных с обеспечением информационной безопасности. Рассмотрим угрозы безопасности электронной коммерции:
Три мифа о безопасности бизнеса
1. Замена страницы Web-сервера электронного магазина. Первостепенный способ реализации — переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Особенно это опасно, когда заказчик вводит номер своей кредитной карты.
2. Создание ложных заказов и мошенничество со стороны сотрудников электронного магазина. Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками.
3. Перехват данных, передаваемых в системе электронной коммерции. Особую опасность представляет собой перехват информации о кредитной карте заказчика. Проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. Реализация атак типа «отказ в обслуживании» и нарушение функционирования или выведение из строя узла электронной коммерции.
Все это говорит о необходимости комплексной защиты. Реально защита часто ограничивается использованием криптографии (40-битной версии протокола SSL) для защиты информации между браузером клиента и сервером электронного магазина. Комплексная система защиты должна строиться с учетом четырех уровней любой информационной системы. Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня является браузер Opera, Steam сервис цифрового распространения компьютерных программ и игр, приложение интернет магазина Aliexpress на смартфонах и др.
Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных информационной системы. Примером элементов этого уровня — СУБД Oracle, MS SQL Server, Sybase и MS Access. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры — ОС MS Windows NT, Sun Solaris, Novell Netware, Linux. Уровень сети, отвечающий за взаимодействие узлов информационной системы, примерами которого являются протоколы TCP/IP, IPS/SPX и SMB/NetBIOS [2].
10 глупых вопросов СПЕЦИАЛИСТУ ПО КИБЕРБЕЗОПАСНОСТИ
Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет реализовать атаку на ресурсы электронного магазина. Опасны и внешние и внутренние атаки. По статистике основная опасность исходит от внутренних пользователей электронного магазина (операторов системы).
Для получения несанкционированного доступа к информации о заказах в базе данных есть следующие возможности: прочитать записи БД из MS Query, который позволяет получать доступ к записям многих СУБД при помощи механизма ODBC или SQL-запросов, прочитать нужные данные средствами самой СУБД (уровень СУБД), прочитать файлы базы данных непосредственно на уровне операционной системы. Затем отправить по сети пакеты со сформированными запросами на получение необходимых данных от СУБД или перехватить эти данные в процессе их передаче по каналам связи (уровень сети).
Обычно основное внимание уделяется нижним двум уровням — уровню сети и операционной системы. На уровне сети применяются маршрутизаторы и межсетевые экраны. На уровне ОС — встроенные средства разграничения доступа. Этого недостаточно.
Предположим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина, либо перехватил их в процессе передачи по сети или подобрал при помощи специальных программ. И межсетевой экран, и операционная система пропускает злоумышленника ко всем ресурсам из-за предъявленных идентификатора и пароля авторизованного пользователя. Это является особенностью функционирования экрана и системы. Поэтому особое внимание следует уделить решения проблем, связанных с обеспечением защиты баз данных информационной системы торговой площадки.
Немаловажной проблемой является реализация злоумышленником атак типа «отказ в обслуживании», в связи с этим разработке средств обнаружения атак в настоящий момент уделяется много внимания во всем мире. По прогнозам известных компаний объемы продаж этих средств до 900 миллионов долларов в 2003 году. Эти средства с одинаковой эффективностью функционируют внутри сети и снаружи, защищая от внешних несанкционированных воздействий [1].
Эти средства позволяют своевременно обнаруживать и блокировать сетевые атаки типа «отказ в обслуживании», направленные на нарушение работоспособности электронного магазина. Одним из примеров средств обнаружения атак — система Real Secure, разработанная компанией Internet Security Systems (Inc).
Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. Необходимо своевременно обнаружить и устранить уязвимости информационной системы на всех уровнях. Помогут средства анализа защищенности и сканеры безопасности.
Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т. ч. и удаленных на значительные расстояния. В этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях — Internet Scanner, System Scanner и Database Scanner. Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обеспечения информационной безопасности электронной коммерции. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг.Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина.
Рекомендуется использовать дополнительные средства защиты. Такие средства могут быть как свободно распространяемыми, так и коммерческими продуктами. Какие из этих средств лучше, решать в каждом конкретном случае по-своему. В случае нехватки денег на приобретение средств защиты о приходится обращать внимание на бесплатные средства.
Однако использование таких средств связано с некачественной защитой и отсутствием технической поддержки. Из коммерческих российских средств, реализующих большое число защитных функций можно назвать системы семейства Secret Net, разработанные предприятием «Информзащита». Вообще, исключительно техническими средствами решить задачу построения комплексной системы защиты нельзя. Необходим комплекс организационных, законодательных, физических и технических мер [3].
Часто организации используют частичные подходы для решения проблем с защитой. Эти подходы основаны на их восприятии рисков безопасности. Администраторы безопасности имеют тенденцию реагировать только на те риски, которые им понятны. На самом деле таких рисков может быть больше.
Администраторы понимают возможное неправильное использование ресурсов системы и внешних атаки, но зачастую плохо знают об истинных уязвимостях в сетях. Постоянное развитие информационных технологий вызывает целый ряд новых проблем. Эффективная система обеспечения безопасности предполагает наличие хорошо тренированного персонала, который выполняет функции. Придерживается стандартизованного подхода к обеспечению безопасности, внедряет процедуры и технические средства защиты, проводит постоянный контроль подсистем аудита, обеспечивающих анализ потенциальных атак.
Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает. Появляются новые неучтенные угрозы и уязвимости системы. Есть понятие — адаптивная безопасность сети.
Она позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Состоит из трех основных элементов — технологии анализа защищенности, технологии обнаружения атак, технологии управления рисками.
Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, но наращивая число проверок и исследуя все ее уровни. Обнаружение атак — оценка подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа журналов регистрации операционной системы и прикладного ПО и сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия.
Как частный и наиболее распространенный случай применения систем обнаружения можно привести ситуацию с неконтролируемым применением модемов. Системы анализа защищенности позволяют обнаружить такие модемы, а системы обнаружения атак — идентифицировать и предотвратить несанкционированные действия, осуществляемые через них. Аналогично средствам анализа защищенности средства обнаружения атак также функционируют на всех уровнях корпоративной сети. В качестве примера также можно привести разработки компании ISS, как лидера в области обнаружения атак и анализа защищенности [4].
Важнейшей частью в электронной коммерции, является система безналичных расчетов с помощью пластиковых карт, которая называется электронной платежной системой, и именно эта часть чаще всего, подвергается атакам и всякого рода посягательствам со стороны злоумышленников. Современную практику банковских операций, торговых сделок и взаимных платежей невозможно представить без расчетов с применением пластиковых карт. Поэтому для обеспечения нормальной работы электронная платежная система должна быть надежно защищена.
C точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:
— пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом;
— обработка информации внутри организации отправителя и получателя сообщений;
— доступ клиентов к средствам, аккумулированным на счетах.
Пересылка платежных и других сообщений связана с такими особенностями:
— внутренние системы организаций отправителя и получателя должны обеспечивать необходимую защиту при обработке электронных документов (защита оконечных систем);
— взаимодействие отправителя и получателя электронного документа осуществляется опосредовано — через канал связи.
Эти особенности порождают следующие проблемы:
— взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);
— защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности документов);
— защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
— обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).
Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:
— управление доступом на оконечных системах;
— контроль целостности сообщения;
— обеспечение конфиденциальности сообщения;
— взаимная аутентификация абонентов;
— невозможность отказа от авторства сообщения;
— гарантии доставки сообщения;
— невозможность отказа от принятия мер по сообщения;
— регистрация последовательности сообщений;
— контроль целостности последовательности сообщений.
В целом очевидно, что электронная торговля как новая форма мирового рыночного хозяйства повышает эффективность экономики, а также формирует условия для ускорения промышленного роста. В процессе развития электронная торговля будет сталкиваться с новыми проблемами, в том числе проблемами информационной безопасности. Поэтому системы защиты электронной коммерции должны строиться с учетом четырех уровней любой информационной системы. Система защиты должна эффективно работать на всех уровнях, а поэтому проблеме обеспечения информационной безопасности следует уделить особое внимание, заключающееся в выборе необходимых средств защиты ещё на этапе проектирования информационных систем электронных торговых площадок.
1. Энциклопедия интересных статей: сайт. — URL: http://rusadvice.org/
2. Интернет-издание, специализирующееся на бухгалтерской, юридической и налоговой тематике: сайт. — URL: http://www.klerk.ru/
3. Информационно-развлекательная сеть: сайт. — URL: http://www.lghost.ru/
4. Сайт, посвященный вопросам информационной безопасности: сайт. — URL: http://protect.htmlweb.ru/
5. Балабанов, И. Т. Интерактивный бизнес: Учебное пособие / И. Т. Балабанов. — СПб.и др.: Питер: Питер бук, 2007. — 123 с.
6. Брагин, Л. А. Электронная коммерция: учебное пособие / [Л. А. Брагин [и др.]; под общ. ред. Л. А. Брагина. — М. Экономистъ, 2006. — 286 с.
7. Гаврилов, Л. П. Мобильные телекоммуникации в электронной коммерции и бизнесе: учебное пособие для студентов вузов, обучающихся по специальности «Коммерция (торговое дело)» / Л. П. Гаврилов, С. В. Соколов. — М.: Финансы и статистика, 2006. — 334 с.
8. Леонов, А. Тенденции российской электронной торговли / А. Леонов // Современная торговля. — 2009. — № 3. — С. 36–39.
9. Савинов, Ю. А. Проблемы использования сети Интернет для международной электронной торговли / Ю. А. Савинов // Внешнеэкономический бюллетень. — 2005. — N 3. — С. 3–12.
10. Филин, С. А. Информационная безопасность: учебное пособие / С. А. Филин. — М.: Альфа-Пресс, 2006. — 410 с.
Основные термины (генерируются автоматически): электронная коммерция, электронный магазин, информационная система, информационная безопасность, операционная система, средство, уровень, уровень сети, баз данных, канал связи.
Похожие статьи
Информационная безопасность в компьютерных сетях
Информационная безопасность компьютерных сетей. компьютерная сеть, сеть, линия связи, ресурс, обеспечение безопасности, отдельная система, компьютерная система, программное средство защиты, различный узел сети, потенциальная возможность.
Программно-аппаратные средства защиты автоматизированных.
BIOS, доверенная загрузка, PCI, информационная безопасность, средство, внешний носитель, вычислительная техника, DOC, общая сеть, файловая система.
Сети передачи данных и проблемы обеспечения их.
Информационная безопасность в компьютерных сетях. Информационная безопасность в компьютерных сетях.
Современные средства защиты информации способны на высоком уровне обеспечить безопасность сетей.
Уровень системы управления базами данных.
Анализ проблем обеспечения информационной безопасности. Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных информационной системы.
Информационная безопасность компьютерных сетей
Информационная безопасность в компьютерных сетях. сеть, ресурс, компьютерная сеть, защита информации, линия связи, программное средство защиты, отдельная система, локальная сеть, компьютерная система, различный узел сети.
Особенности обеспечения информационной безопасности.
электронный документооборот, информационная безопасность, операционная система, передаваемая информация, инструкция пользователя ИС, настройка средств защиты, анализ угроз, угроза, модель угроз.
Электронная коммерция — инновационная форма ведения.
Ключевые слова: электронная коммерция, электронный бизнес, электронная торговля, электронные коммуникации, инновационное развитие.
приобретение другой операционной системы (далее — ОС) требует больших затрат. Роль электронной коммерции в.
Внедрение средств защиты информации при проектировании.
Функции шифрования обеспечиваются на уровне операционной системы (ОС). В данном случае криптографическая защита данных может быть реализована без модификации прикладного программного обеспечения.
Проблемы развития электронных платежных систем.
Низкий уровень безопасности некоторых ЭПС.
Основные термины (генерируются автоматически): правовое регулирование, система, цифровая наличность, Интернет, платеж, SSL, электронная коммерция, правовая природа, основная проблема, TNS.
- Как издать спецвыпуск?
- Правила оформления статей
- Оплата и скидки
Источник: moluch.ru
X Международная студенческая научная конференция Студенческий научный форум — 2018
настоящее время термин «электронная коммерция» понимают как предоставление товаров и платных услуг через глобальные информационные сети. В большинстве случаев она осуществляется через глобальную электронную сеть Интернет. Процедура взаимодействия продавца и покупателя подвергается различным угрозам.
Во времена быстрого развития электронной коммерции и торговли в Интернете встает главный вопрос о безопасности и способах защиты. В данной статье были подробно рассмотрены понятия «электронная коммерция», «безопасность», виды и источники угроз. Выявлена и обоснована необходимость защиты информации и данных в электронной коммерции.
Электронная коммерция – это вид услуг, когда коммерческая деятельность ведется через сеть Интернет. Системы электронной коммерции обеспечивают возможность покупки и продажи товаров, оплаты заказов, сервисного обслуживания, генерирования цены с соблюдением разных условий (скидка, доставка, количество товара, сумма заказа). Пользователь может, не выходя из дома оплатить через Интернет счета за мобильные переговоры, кабельное телевидение, оплатить покупку товаров или услуг и т.д.
В настоящее время электронная коммерция и торговля в Интернете быстро развиваются, поэтому необходима защита системы, информации и данных, т.е. их безопасность. Безопасность – состояние защищенности интересов субъектов отношений, совершающих коммерческие операции с помощью технологий электронной коммерции, от угроз материальных и иных потерь.
К электронной коммерции относят электронный обмен информацией, электронную торговлю, электронные деньги, электронный маркетинг, электронные страховые услуги.
В электронной коммерции система должна отвечать четырем основным требованиям:
Конфиденциальность – обмен информацией должен быть защищен от посторонних лиц.
Целостность – передаваемая информация не должна быть изменена или подделана.
Проверка подлинности – как отправитель, так и получатель должны доказать свою подлинность друг другу.
Невозможность отказа – после совершения операции каждая сторона должна получить подтверждение о состоявшейся сделке.
Эти правила являются основополагающими для ведения безопасной деятельности в Интернете.
Поставщики должны также защитить свою электронную систему от различных внешних угроз безопасности.
Можно выделить три группы угроз вирусы и вредоносные программы, хакерские атаки, мошенничества с использованием различных средств передачи данных.
Целью написания вирусов и вредоносных программ служит приостановка либо полное отключение аппаратных и программных возможностей объекта атаки, а также получение конфиденциальных сведений о пользователе. Часто программы-вирусы предназначены для блокирования сетевого ресурса жертвы.
В качестве меры в борьбе с вирусами можно использовать специальные антивирусные программы. Кроме этого, необходима внимательность пользователя к источникам, из которых информация попадает на его компьютер, а также общая компьютерная грамотность.
Взлом хакерами программного обеспечения и сетевых ресурсов в настоящее время превратился в мощное орудие недобросовестной конкуренции.
Для защиты от хакерских атак на сегодняшний день существуют специальные программы и сетевые экраны, надежно закрывающие доступ неавторизованным пользователям. Но стопроцентной защиты от хакеров нет. Это обусловлено тем, что они постоянно ищут новые уязвимости, а когда находят – производят атаку.
Количество разнообразных видов мошенничества, создаваемых людьми для отъема денег, постоянно растет.
Можно выделить следующие виды мошенничества:
связанные с использованием номеров кредитных карт;
связанные с использованием копий легальных сайтов;
связанные с использованием фиктивных торговых площадок;
связанные с инвестициями и возможностью заработать;
связанные с несовершенством платежных систем.
Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.
Существуют различные способы защиты коммерческого сайта от взлома и мошенничества. Например:
Размещать сайт на безопасной платформе электронной коммерции, использующей сложный объектно-ориентированный язык программирования.
Использовать безопасные соединения для онлайн-заказов. Следует убедиться, что вы совместимы с PCI (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платёжных карт). Это повысит доверие клиентов к сайту, и поможет убедить их в его безопасности.
Создание нескольких уровней безопасности.
Против мошенников использующих возвратные платежи поможет использование отслеживания номеров всех заказов, которые вы отправляете.
Не хранить конфиденциальные данные.
Использовать систему проверки адреса и карты.
Установить систему предупреждения о подозрительной деятельности.
Следует ежеквартально выполнять PCI – сканирование (Payment Card Industry) с помощью таких сервисов, как Trustwave, чтобы снизить риск уязвимостей платформы вашей электронной коммерции для атак хакеров
Электронная коммерция становится важной составляющей жизни современного развитого общества. Простота осуществления заказов, скорость поиска необходимых товаров и услуг, широкий выбор предоставляемой продукции – небольшой перечень преимуществ электронных продаж по сравнению с традиционной покупкой в магазинах. В связи с этим необходимо усовершенствование компьютерных технологий, которое ведет не только к упрощению использования системы виртуальных заказов, но и к улучшению качества осуществления операций, к повышению надежности оказываемых посредством Интернет-услуг. А также принимать меры, которые помогут уменьшить атаки и обезопасят электронный бизнес. Осведомленность о рисках и реализация многослойных протоколов безопасности, подробная и открытая политика конфиденциальности, а также мощная аутентификация и шифрование — это те меры, которые помогут убедить потребителя в безопасности и уменьшить риск потери своих доходов и бизнеса в целом.
Список использованных источников
Гаврилов Л.П. Электронная коммерция. — М.: Солон, 2006. — 112 с.
Источник: scienceforum.ru
Глава 7. Обеспечение безопасности электронного бизнеса
Электронный бизнес — это электронная коммерция плюс комплексная автоматизация деятельности компании. В связи с этим, при рассмотрении вопросов, связанных с информационной безопасностью электронного бизнеса необходимо выделить два основных аспекта. Первый — обеспечение информационной безопасности электронной коммерции.
Второй — защита информации в распределенных автоматизированных системах. Методы защиты, используемые в первом и во втором случае, имеют много общего, но существуют и свои специфические особенности. Основной проблемой, возникающей при обеспечении информационной безопасности электронной коммерции, является проблема защиты информации в электронных платежных системах. Решение этой проблемы связано с использованием smart-карт, криптографических методов и защищенных протоколов взаимодействия. Защита информации в распределенных автоматизированных системах обеспечивается использованием межсетевых экранов (брандмауэров), антивирусных программ, а также защищенных протоколов и средств шифрования
7.1. Основные понятия
- Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
- Целостность: неизменность информации в процессе ее передачи или хранения.
- Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
В соответствии с основными целями и задачами, особенно важное значение имеет обеспечение комплексной информационной безопасности во всех сферах и отраслях экономики, создание условий для безопасного использования коммерческой информации и безопасного функционирования различных видов электронного бизнеса. Также следует осуществлять постоянный мониторинг рынка услуг информационной безопасности с целью определения объема и структуры спроса на услуги информационной безопасности.
Термин «информационная безопасность» не так давно вошёл в широкое употребление, хотя деятельность современного предприятия невозможно представить себе без персональных компьютеров. Этому есть простое объяснение: объём обрабатываемой и хранящейся в электронном виде информации для среднего предприятия в миллионы раз выше по сравнению с «бумажной». На компьютерах устанавливается сложное в настройке программное обеспечение, создаются трудные для восстановления схемы взаимодействия компьютеров и программ, рядовые пользователи обрабатывают огромные массивы данных. Понятно, что любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия.
На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз ИБ предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, подчас настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Задачи руководства ИБ в таких организациях часто сводятся к выпуску директив с ключевыми словами: «углубить», «расширить», «повысить», «обеспечить» и т.д. Вся работа по обеспечению ИБ выполняется незаметно для руководства сотрудниками соответствующих служб, и описание методов их работы – это тема для отдельной большой статьи.
Источник: studfile.net