- •Учреждение образования
- •1.2. Эволюция электронного бизнеса
- •1.3. Сетевая экономика и особенности ведения в ней бизнеса
- •1.4. Электронная коммерция
- •Контрольные вопросы
- •Тема 2. Системы и формы электронной коммерции
- •2.1. Системы электронной коммерции
- •2.2. Формы электронной коммерции
- •3. Организация коммерческой деятельности в сетях
- •3.1. Особенности коммерческой деятельности
- •3.2. Электронный каталог
- •3.3. Предложение товаров в сетях
- •3.4. Электронная продажа товаров
- •3.5. Средства и системы платежей
- •Контрольные вопросы
- •Контрольное задание
- •Тема 4. Коммуникационная политика в сетях
- •4.1. Сущность коммуникации и ее модели в электронной среде
- •4.2. Коммуникационная политика и ее специфика
- •4.3. Реклама в сетях
- •Баннерные сети классифицируются по поддерживаемым форматам баннеров:
- •4.5. Электронные общественные связи
- •4.6. Стимулирование продаж
- •Контрольные вопросы
- •Тема 5. Организационные и правовые основы электронной коммерции
- •5.1. Организационное регулирование работы в Интернете
- •Wipo (World Intellectual Property Organization) — специализированное агентство оон по защите интеллектуальной собственности со штаб -квартирой в Женеве.
- •5.2. Правовое регулирование коммерческих сделок в сети
- •5.3. Безопасность коммерческих сделок
- •Контрольное задание
5.3. Безопасность коммерческих сделок
Безопасность является ключевым вопросом при внедрении систем и форм электронной коммерции. С любой точки зрения безопасность означает снижение риска и защиту от неизвестности.
Безопасность электронной коммерции — состояние защищенности хозяйствующих субъектов, совершающих коммерческие операции на рынке с помощью технологий электронной коммерции от угроз материальных или иных потерь.
Обеспечение безопасности можно рассматривается как завершающий этап организации коммерческой деятельности с применением информационных технологий. От обеспеченности безопасности действующих субъектов во многом зависит как их деловая активность на рынке электронной коммерции, так и в целом перспективы развития электронной коммерции. Обеспечение безопасности предполагает проведение комплексных мероприятий, направленных, с одной стороны, на нейтрализацию или снижение негативного воздействия факторов-источников угроз для коммерческих операций на рынке электронной коммерции, а с другой – на усиление действия факторов, повышающих эффективность технологий электронной коммерции.
Сложность обеспечения безопасности заключается в том, что системы электронной коммерции с нарушенной защитой зачастую функционируют нормально.
Основной задачей безопасности является защита сети и выполняемых в ней операций. Защита сети означает, что линии связи и сети защищены от угрозы несанкционированного доступа посторонних лиц к информации. Задачи обеспечения безопасности сводятся к соблюдению:
конфиденциальности или осведомленности о том, кто имеет право доступа к данным, а также обеспечению частного характера информации в сети. Для этого применяется шифрование ─математическая процедура шифрования данных таким образом, чтобы их не смог восстановить в исходном виде никто, кроме уполномоченного получателя. Математическая формула или алгоритм преобразуют предназначенные для этого данные в кодированное сообщение, а для расшифровки этого сообщения используют ключ. Согласно исследованию Forrester Research, большая часть затрат на защиту сети связана с шифрованием данных и укреплением брандмауэров;
аутентификации (проверка того факта, что отправители или получатели сообщения являются именно теми лицами, за которых они себя выдают);
целостности (недопущение случайного или намеренного изменения либо порчи информации как при передаче, так и при хранении);
управления доступом (ограничение на использование ресурсов уполномоченными лицами);
недопущения отрицания (гарантия того, что уполномоченное лицо не сможет отрицать факт отправки сообщения).
Прежде чем обеспечить безопасность, необходимо определить объект защиты. Для этого предприятия электронной коммерции должны принять во внимание следующие виды угроз или правонарушений:
имеющие физический характер. Например, кража компьютерного оборудования, программного обеспечения, повреждение других материальных ценностей;
связанные с заказом. Например, клиент может попытаться воспользоваться недействительной или украденной кредитной карточкой;
носящие электронный характер. Например, взломщик может анализировать пакет информации, передаваемой по электронной почте. Еще одним примером может быть повреждение или уничтожение Web—сайта коммерческой организации, а также заражение вирусом всего интерфейса между коммерческим предприятием и потребителем.
Существуют и другие группы правонарушений, которые могут представлять угрозу для среды электронной коммерции. Некоторые злоумышленники нападают на Web—сайты довольно редко, поэтому обнаружить образовавшуюся брешь в системе защиты довольно сложно.
Объектом угроз на рынке электронной коммерции выступают сведения о составе, состоянии, деятельности субъекта хозяйствования. Угрозы прежде всего могут исходить от конкурентов, злоумышленников. Источники угроз при этом преследуют следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Таким образом, безопасность коммерческих операций, использующих в качестве инструмента проведения информационные сети, имеет в первую очередь отношение к защите информации.
Информационную безопасность можно определить как защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Угрозы, обеспечивающие отказ или неправильное функционирование систем электронной коммерции, можно разделить на четыре основные категории:
нарушение конфиденциальности данных, принадлежащих коммерческому предприятию или потребителю. В результате информация становится доступной лицам, которые не должны ее знать или которым запрещен доступ к ней;
утрата целостности данных. Информация может быть изменена или просто уничтожена;
нарушение обслуживания. В результате действия злоумышленников коммерческая организация не может оказывать обычный набор услуг, что приведет к убыткам для организации и неудобствам для потребителей;
потеря доверия клиента в результате незаконного вмешательства в файлы их личной информации или коммерческой организации, нечестности, просчетов в работе.
Каждая угроза может повлечь за собой определенный ущерб – моральный или материальный, а противодействие угрозе призвано снизить величину.
Для защиты от возможных угроз коммерческая организация должна принимать целый ряд мер. С учетом сложившейся практики обеспечения безопасности на рынке электронной коммерции выделяют следующие направления защиты информации:
правовое (специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту на правовой основе);
организационное (регламентация коммерческой деятельности и взаимоотношений исполнителей на нормативной основе);
инженерно—техническое (использование технических средств).
Кроме того, защитные действия, ориентированные на обеспечение информационной безопасности, могут быть охарактеризованы целым рядом параметров, отражающих помимо направлений ориентацию на объекты защиты, характер угроз, способы действий, их распространенность, охват и масштабность.
Правовая защита информации ─ комплексный подход к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов страны.
Правовая защита информации как ресурса коммерческой деятельности признана на международном, государственном уровнях и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. В свою очередь на государственном уровне правовая защита регулируется государственными и ведомственными актами. Требования информационной безопасности должны автоматически включаться во все уровни законодательства.
Организационная защита ─ регламентирование производственной и коммерческой деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и появление внутренних и внешних угроз. В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направлены на обеспечение безопасности информации в конкретных условиях.
К важнейшим организационным мероприятиям относят:
организацию режима и охраны, исключающую возможность несанкционированного проникновения на территорию и в помещение посторонних лиц; позволяющую контролировать соблюдение временного режима труда и требований на территории персоналом организации; поддерживающую надежный пропускной режим;
организацию работы с сотрудниками (подбор и расстановка);
организацию работы с документами, включая разработку, использование, учет, исполнение, хранение и уничтожение документированной информации;
организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
организацию работы по анализу возможных угроз конфиденциальной безопасности и выработке мер по обеспечению ее защиты;
проведение систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
Одним из важнейших организационных мероприятий является создание специальных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.
Технические средства обеспечения безопасности электронной торговли по объектам их воздействия могут применяться для защиты людей, материальных средств, финансов, информации.
По функциональному назначению они подразделяются на:
1. Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям информации.
Физические средства защиты применяются для решения следующих задач: охрана оборудования, продукции, финансов, информации, а также осуществление контролируемого доступа к информации в электронной коммерции.
Системы контроля доступа используют идентификацию объекта для подтверждения его полномочий и разграничения доступа к ресурсам. Наибольшее распространение среди них получили атрибутные и персональные методы опознавания.
К атрибутным методам относятся средства подтверждения полномочий, такие как документы (паспорт, удостоверение), карты (фотокарточки, карты с магнитными, электронными, механическими идентификаторами) и другие средства (ключи, сигнальные элементы). Однако эти средства в значительной мере подвержены подделкам и мошенничеству.
Персональные методы — методы определения лица по его независимым показателям: отпечаткам пальцев, геометрии рук, особенностям глаз и др. Персональные характеристики могут быть статические и динамические. К последним относятся пульс, давление, речь, почерк.
2. Аппаратные средства — приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. Их основная задача — обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа. Они распространены достаточно широко, однако из-за того, что они не обладают достаточной гибкостью, часто теряют свои защитные свойства при раскрытии принципов действия и в дальнейшем не могут быть используемы.
Аппаратные средства защиты по функциональному назначению могут быть классифицированы на средства обнаружения, поиска и детальных измерений, средства активного и пассивного противодействия. Они применяются как на отдельных персональных компьютерах, так и на разных уровнях и участках сети: в центральных процессорах, в их оперативных запоминающих устройствах (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и др.
3. Программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации различного назначения в электронной коммерции. Они надежны и период их гарантированного использования без перепрограммирования значительно больше, чем аппаратных.
Программные средства защиты используются в электронной коммерции по следующим направлениям:
защита информации от несанкционированного доступа путем аутентификации пользователей через использование паролей;
защита информации и программ от копирования, которая предотвращает использование краденных ворованных копий ПО. Это средства, обеспечивающие выполнение программой своих функций только при опознании некоторого не копируемого элемента;
защита информации и программ от вирусов при помощи антивирусов -программ, обнаруживающих и удаляющих вирусы. Такие программы могут быть специализированными (способными бороться только с уже написанными вирусами: «Доктор Касперский», AIDS TEST) и универсальными, которые с помощью эвристического анализа могут обнаруживать примерно в 82% неизвестные вирусы (Adinf, Dr. Web);
программная защита каналов связи предполагает использование брандмауэров или межсетевых экранов. Для этого необходим набор компонентов: клиентский компьютер, имеющий доступ в Интернет; сервер электронной торговли, на котором ведется каталог товаров и принимаются зашифрованные запросы клиентов на покупку определенных товаров; средство для обеспечения взаимной конвертации протоколов Интернет и стандартных протоколов авторизации (например, протокол SET, обеспечивающий шифрование финансовой информации, абсолютную конфиденциальность, сохранность данных, аутентификацию счета владельца карточки и др.).
4. Криптографические средства — специальные математические и алгоритмические средства обеспечения безопасности информации, передаваемой по сетям связи, хранимой и обрабатываемой с использованием различных методов шифрования.
Криптографические средства защиты имеют очень важное значение в сфере электронной коммерции. Цель криптографии состоит в том, что секретная или конфиденциальная информация может быть преобразована из понятной формы в непонятную (информация, передаваемая продавцом клиенту, цифровая подпись, номер счета электронной карточки клиента и т. д.).
Процесс преобразования открытого текста в зашифрованный называется шифрованием, а обратный процесс — расшифрованием. Для защиты коммерческой информации на международном рынке предлагаются различные технические устройства и комплекты профессиональной аппаратуры шифрования и криптозащиты.
5. Комбинированные средства представляют собой совокупную реализацию предыдущих.
Такое деление технических средств обеспечения безопасности электронной коммерции достаточно условно, так как на практике очень часто они используются и взаимодействуют в комплексе в виде программно-аппаратных модулей с широким использованием алгоритмов закрытия информации.
Контрольные вопросы
Какие составляющие выделяют в организационном регулировании Интернета?
Какая организация формирует политику и практику Интернета и осуществляет наблюдения за другими организациями, связанными с вопросами сетевой политики?
Какие организации осуществляют техническую координацию Интернета?
Какие функции возложены на консорциум WЗС?
К чему сводится правовая квалификация электронных сообщений?
С какими усилиями был принят Типовой закон ЮНСИТРАЛ «Об электронной торговле»?
Какие нормативные документы в области электронной коммерции приняты Европейским союзом?
Какие приняты в Беларуси документы в области электронной коммерции?
В чем главное отличие электронного документа от бумажного?
Что понимается под безопасностью электронной коммерции?
Каким требованиям должна отвечать система защиты технологии электронной коммерции?
Какие виды правонарушений характерны для электронной коммерции?
Что такое информационная безопасность?
Какие выделяют направления обеспечения защиты информации?
К какому направлению обеспечения безопасности относятся программные средства?