Müştəri e-mağaza serveri vasitəsilə məhsul və ya xidməti seçir və sifariş verir.

Sifariş mağazanın sifariş bazasına daxil edilir. Məhsul və ya xidmətin mövcudluğu mərkəzi məlumat bazası vasitəsilə yoxlanılır. Məhsul yoxdursa, müştəriyə məlumat verilir. Mağazanın növündən asılı olaraq, məhsul tələbi başqa anbara yönləndirilə bilər. Əgər məhsul və ya xidmət mövcuddursa, müştəri ödənişi təsdiqləyir və sifariş məlumat bazasına daxil edilir. Elektron mağaza müştəriyə sifariş təsdiqini göndərir. Əksər hallarda sifarişlər və malların mövcudluğunu yoxlamaq üçün vahid məlumat bazası mövcuddur. Müştəri sifarişi onlayn ödəyir. Mallar müştəriyə çatdırılır.

Şirkəti bütün mərhələlərdə gözləyən əsas təhlükələri nəzərdən keçirin. Elektron mağazanın veb-server səhifəsinin dəyişdirilməsi. Əsas icra üsulu istifadəçi sorğularının başqa serverə yönləndirilməsidir. DNS serverlərinin cədvəllərində və ya marşrutlaşdırıcıların cədvəllərində qeydlərin dəyişdirilməsi ilə həyata keçirilir. Müştəri kredit kartı nömrəsini daxil etdikdə bu xüsusilə təhlükəlidir. Elektron mağazanın işçiləri tərəfindən saxta sifarişlərin yaradılması və saxtakarlıq. Verilənlər bazasına daxil olmaq və sifarişlərin işlənməsi prosedurlarının dəyişdirilməsi verilənlər bazası ilə qeyri-qanuni manipulyasiyaya yol verir. Statistikaya görə, bütün kompüter insidentlərinin yarısından çoxu ilə bağlıdır öz işçiləri. Elektron ticarət sistemində ötürülən məlumatların tutulması. Xüsusi təhlükə müştərinin kredit kartı haqqında məlumatların ələ keçirilməsidir. Şirkətin daxili şəbəkəsinə nüfuz etmək və elektron mağazanın komponentlərini pozmaq. Xidmətdən imtina hücumlarını həyata keçirmək və e-ticarət saytını pozmaq və ya söndürmək.

Bütün bu təhdidlər nəticəsində şirkət müştərilərin etibarını itirir və qeyri-kamil əməliyyatlardan pul itirir. Bəzi hallarda bu şirkət rəqəmlərin açıqlanmasına görə məhkəməyə verilə bilər kredit kartları. Xidmətdən imtina hücumları halında, müvəqqəti və maddi resurslar avadanlıq dəyişdirmək üçün. Məlumatların tutulması istifadə olunan proqram təminatı və aparatdan asılı deyil.Bu, IP protokol versiyasının (v4) etibarlı olmaması ilə əlaqədardır. Problemin həlli kriptoqrafik vasitələrin istifadəsi və ya İP protokolunun altıncı versiyasına keçiddir. Hər iki halın öz problemləri var. Birinci halda, kriptoqrafiyadan istifadə müvafiq qurum tərəfindən lisenziyalaşdırılmalıdır. İkinci halda, təşkilati problemlər yaranır. Daha bir neçə təhdid mümkündür. Elektron ticarət qovşaqlarının mövcudluğunun pozulması və elektron mağazanın proqram təminatının və aparatının səhv konfiqurasiyası.

2. Mühafizə üsulları.

Hər hansı birinin dörd səviyyəsini nəzərə alaraq inteqrasiya olunmuş mühafizə sistemi qurulmalıdır məlumat Sistemi. Tətbiq səviyyəsi proqram təminatı(proqram təminatı) istifadəçinin qarşılıqlı əlaqəsinə cavabdehdir. Bu səviyyənin elementlərinə bir nümunə - mətn redaktoru WinWord, Excel elektron cədvəl redaktoru, Outlook poçt proqramı, Internet Explorer brauzeri.

Məlumat sistemi məlumatlarının saxlanması və işlənməsi üçün cavabdeh olan verilənlər bazası idarəetmə sisteminin (DBMS) səviyyəsi. Bu səviyyənin elementlərinə misal olaraq Oracle DBMS, MS SQL Server, Sybase və MS Access-i göstərmək olar. Səviyyə əməliyyat sistemi(ƏS) DBMS və proqram təminatının saxlanmasına cavabdehdir. Nümunələr OS M S Windows NT, Sun Solaris, Novell Netware-dir. İnformasiya sistemi qovşaqlarının qarşılıqlı əlaqəsindən məsul olan şəbəkə səviyyəsi. Nümunələr TCP/IP, IPS/SPX və SMB/NetBIOS protokollarıdır.

Mühafizə sistemi bütün səviyyələrdə səmərəli işləməlidir. Əks halda, təcavüzkar elektron mağazanın resurslarına hücum həyata keçirə biləcək. Həm xarici, həm də daxili hücumlar təhlükəlidir. Statistikaya görə, əsas təhlükə elektron mağazanın daxili istifadəçilərindən (sistem operatorları) gəlir. Verilənlər bazasındakı sifarişlər haqqında məlumatlara icazəsiz giriş əldə etmək üçün aşağıdakı seçimlər mövcuddur. ODBC mexanizmindən və ya SQL sorğularından istifadə etməklə bir çox DBMS-nin qeydlərinə daxil olmağa imkan verən MS Query-dən verilənlər bazası qeydlərini oxuyun.DBMS-nin özündən istifadə edərək lazımi məlumatları oxuyun (DBMS səviyyəsi). Verilənlər bazası fayllarını birbaşa əməliyyat sistemi səviyyəsində oxuyun. DBMS-dən lazımi məlumatları əldə etmək üçün yaradılan sorğularla paketləri şəbəkə üzərindən göndərin. Və ya bu məlumatları rabitə kanalları (şəbəkə səviyyəsi) üzərindən ötürülməsi prosesində ələ keçirin.

Tipik olaraq, diqqət alt iki təbəqəyə - şəbəkə qatına və əməliyyat sistemi qatına verilir. Şəbəkə səviyyəsində marşrutlaşdırıcılar və firewalllar istifadə olunur. OS səviyyəsində - daxili girişə nəzarət vasitələri. Bu kifayət deyil. Təsəvvür edək ki, təcavüzkar mağaza verilənlər bazası istifadəçisinin istifadəçi ID və şifrəsini əldə edib. Ya şəbəkə üzərindən ötürülmə zamanı onları tutdu, ya da xüsusi proqramlardan istifadə edərək götürdü. Həm firewall, həm də əməliyyat sistemi səlahiyyətli istifadəçinin təqdim etdiyi şəxsiyyət və şifrə sayəsində təcavüzkarın bütün resurslara daxil olmasına imkan verir. Bu, ekranın və sistemin işləmə xüsusiyyətidir.

Bizə yeni müdafiə vasitələri və mexanizmləri lazımdır. Hazırda bütün dünyada müdaxilənin aşkarlanması vasitələrinə böyük diqqət yetirilir. Proqnozlara görə məşhur şirkətlər 2003-cü ildə bu vəsaitlərin satışı 900 milyon dollara çatdı. Bu alətlər kənar icazəsiz təsirlərdən qoruyaraq şəbəkə daxilində və xaricdə eyni dərəcədə effektiv işləyir.

Bu alətlər elektron mağazanın funksionallığını pozmağa yönəlmiş şəbəkənin xidmətdən imtina hücumlarını vaxtında aşkar etməyə və bloklamağa imkan verir. Hücumun aşkarlanması alətinə misal olaraq Internet Security Systems, Inc tərəfindən hazırlanmış RealSecure sistemidir.

İstənilən proqram təminatında hücumların həyata keçirilməsinə səbəb olan müəyyən boşluqlar var. Həm e-ticarət sisteminin dizayn zəiflikləri (məsələn, qorunmanın olmaması), həm də tətbiqetmə və konfiqurasiya zəiflikləri. Son iki növ zəiflik ən çox yayılmışdır və istənilən təşkilatda tapıla bilər. Bir neçə misal sadalayaq. Microsoft və Netscape brauzerlərində bufer daşması xətası, IMAP demonunun tətbiqi xətası və poçt proqramı sendmail, boş parolların və 6 simvoldan az parolların istifadəsi, Telnet kimi işləyən, lakin istifadə olunmayan xidmətlər. Bütün bunlar işlənmiş məlumatların məxfiliyini və bütövlüyünü pozmağa yönəlmiş müxtəlif növ hücumların həyata keçirilməsinə səbəb ola bilər.

Bütün səviyyələrdə informasiya sistemindəki zəiflikləri vaxtında aşkar etmək və aradan qaldırmaq lazımdır. Təhlükəsizlik təhlili alətləri və təhlükəsizlik skanerləri kömək edəcəkdir. Bu alətlər yüzlərlə hostda bir çox boşluqları aşkarlaya və düzəldə bilər, o cümlədən. və xeyli məsafələr üçün uzaqdan. İnternet Təhlükəsizlik Sistemləri də SAFEsuite ailəsi ilə bu sahədə liderlik edir. Sistemə bütün dörd səviyyədə işləyən zəifliklərin axtarışı funksiyaları daxildir - İnternet Skaneri, Sistem Skaneri və Verilənlər Bazası Skaneri. Bütün səviyyələrdə müxtəlif mühafizə vasitələrinin birgə istifadəsi sizə etibarlı e-ticarət informasiya təhlükəsizliyi sistemi qurmağa imkan verəcək. Belə bir sistem həm istifadəçilər, həm də xidmət təminatçısı şirkətin əməkdaşları üçün faydalıdır.

Bu, elektron mağazanın komponentlərinə və resurslarına hücumlardan mümkün zərəri azaldacaq.

İstifadə etmək tövsiyə olunur əlavə vəsait müdafiə. Bu cür alətlər həm sərbəst paylanmış, həm də kommersiya məhsulları ola bilər. Bu vasitələrdən hansı daha yaxşıdır, hər bir halda öz yolu ilə qərar verin. Qoruyucu avadanlıq almaq üçün pul çatışmazlığı halında, pulsuz vəsaitlərə diqqət yetirməlisiniz. Bununla belə, bu cür vasitələrin istifadəsi keyfiyyətsiz qorunma və texniki dəstəyin olmaması ilə əlaqələndirilir. Reklamdan Rusiya fondları, çox sayda qoruyucu funksiyaları həyata keçirən Informzaschita müəssisəsi tərəfindən hazırlanmış SecretNet ailə sistemləri adlandırmaq olar. Ümumiyyətlə, inteqrasiya olunmuş mühafizə sisteminin qurulması problemini sırf texniki vasitələrlə həll etmək mümkün deyil. Təşkilati, qanunvericilik, fiziki və texniki tədbirlər kompleksinə ehtiyac var.

Təşkilatlar təhlükəsizlik məsələlərini həll etmək üçün çox vaxt qismən yanaşmalardan istifadə edirlər. Bu yanaşmalar onların təhlükəsizlik risklərini dərk etmələrinə əsaslanır. Təhlükəsizlik administratorları yalnız başa düşdükləri risklərə cavab verməyə meyllidirlər. Əslində belə risklər daha çox ola bilər. İnzibatçılar sistem resurslarından sui-istifadə və xarici hücumlar potensialını başa düşürlər, lakin çox vaxt şəbəkələrdəki həqiqi zəifliklərdən zəif xəbərdar olurlar. İnformasiya texnologiyalarının davamlı inkişafı bir sıra yeni problemlər yaradır. Effektiv təhlükəsizlik sistemi funksiyaları yerinə yetirmək üçün yaxşı təlim keçmiş kadr tələb edir. O, təhlükəsizliyə standartlaşdırılmış yanaşmaya riayət edir, prosedurları və texniki müdafiə vasitələrini həyata keçirir və potensial hücumların təhlilini təmin edən audit alt sistemlərinə daim nəzarət edir.

Daimi təhlükəsizlik təhlili olmadığı halda şəbəkə texnologiyalarının davamlı inkişafı zaman keçdikcə şəbəkənin təhlükəsizliyinin azalmasına səbəb olur. Sistemin yeni hesablanmamış təhdidləri və zəiflikləri meydana çıxır. Bir konsepsiya var - adaptiv şəbəkə təhlükəsizliyi. O, informasiya infrastrukturunda daimi dəyişikliklərə uyğunlaşaraq real vaxt rejimində mühafizəni təmin etməyə imkan verir. O, üç əsas elementdən ibarətdir - təhlükəsizlik təhlili texnologiyası, hücumun aşkarlanması texnologiyası, risklərin idarə edilməsi texnologiyası. Təhlükəsizlik təhlili texnologiyaları şəbəkə təhlükəsizliyi siyasətini təhlil etmək və həyata keçirmək üçün güclü bir üsuldur. Təhlükəsizlik təhlili sistemləri zəiflikləri axtarır, lakin yoxlamaların sayını artırır və onun bütün səviyyələrini yoxlayır. Hücumun aşkarlanması - baş verən şübhəli fəaliyyətlərin qiymətləndirilməsi korporativ şəbəkə. Hücumun aşkarlanması əməliyyat sistemi və tətbiqi proqram təminatının qeydlərini və real vaxt şəbəkə trafikini təhlil etməklə həyata keçirilir. Qovşaqlara və ya şəbəkə seqmentlərinə yerləşdirilən müdaxilənin aşkarlanması komponentləri müxtəlif hərəkətləri qiymətləndirir.

Aşkarlama sistemlərindən istifadənin xüsusi və ən çox yayılmış halı kimi modemlərin nəzarətsiz istifadəsi ilə bağlı vəziyyəti göstərmək olar. Təhlükəsizlik təhlili sistemləri belə modemləri aşkar edə, müdaxilə aşkarlama sistemləri isə onlar vasitəsilə həyata keçirilən icazəsiz hərəkətləri müəyyən edib qarşısını ala bilir. Təhlükəsizlik təhlili alətləri kimi, müdaxilənin aşkarlanması alətləri də korporativ şəbəkənin bütün səviyyələrində fəaliyyət göstərir. Nümunə olaraq, müdaxilənin aşkarlanması və təhlükəsizliyin təhlili sahəsində lider kimi ISS-nin inkişaflarını da göstərə bilərik.

3. Şifrələmə və rəqəmsal imza.

Gizli açar yaradılır və məlumat mübadiləsinin iştirakçıları arasında paylanır. Bəzən birdəfəlik açarların siyahısı yaradılır. Bu halda, hər bir məlumat ötürmə sessiyası üçün unikal açar istifadə olunur. Eyni zamanda, hər sessiyanın əvvəlində göndərici bu mesajda tətbiq etdiyi açarın seriya nömrəsi barədə alıcıya məlumat verir. Göndərən simmetrik şifrələmə alqoritmini həyata keçirən quraşdırılmış proqram təminatından istifadə edərək məlumatları şifrələyir, şifrələnmiş məlumat rabitə kanalları vasitəsilə alıcıya ötürülür. Alıcı məlumatı göndərənlə eyni açardan istifadə edərək deşifrə edir. Bəzi simmetrik şifrələmə alqoritmlərini nəzərdən keçirək.

DES (Məlumat Şifrələmə Standartı). IBM tərəfindən hazırlanıb və 1977-ci ildən geniş istifadə olunur. İndi bir qədər köhnəlmişdir, çünki istifadə olunan açar uzunluğu bütün mümkün açar dəyərlərin hərtərəfli axtarışı ilə hücuma qarşı müqaviməti təmin etmək üçün kifayət deyil.

Üçlü DES. Bu, DES alqoritmini müxtəlif açarlarla üç dəfə şifrələmək üçün istifadə edən DES-də təkmilləşdirmədir. DES-dən daha çox hakerliyə davamlıdır. Rijndael. Alqoritm Belçikada hazırlanmışdır. 128, 192 və 256 bitlik açarlarla işləyir. Aktiv Bu an kriptoqrafiya mütəxəssislərinin bununla bağlı heç bir şikayəti yoxdur. Skipjack. Alqoritm ABŞ Milli Təhlükəsizlik Agentliyi tərəfindən yaradılmış və istifadə edilmişdir. Açar uzunluğu 80 bitdir. İnformasiyanın şifrələnməsi və şifrəsinin açılması tsiklik (32 dövr) həyata keçirilir. İDEYA. Alqoritm ABŞ-da və bir sıra Avropa ölkələrində patentləşdirilmişdir. Patent sahibi Ascom-Tech şirkətidir. Alqoritm ona bir sıra riyazi əməliyyatlar tətbiq etməklə informasiyanın siklik emalından (8 dövr) istifadə edir. RC4. Alqoritm böyük həcmli məlumatların sürətli şifrələnməsi üçün xüsusi olaraq hazırlanmışdır. O, dəyişən uzunluqlu açardan istifadə edir (tələb olunan informasiya təhlükəsizliyi dərəcəsindən asılı olaraq) və digər alqoritmlərə nisbətən daha sürətli işləyir. RC4 sözdə axın şifrələrinə aiddir.

Elektron rəqəmsal imza (EDS) əlyazma imzanın elektron ekvivalentidir. EDS yalnız mesajın göndəricisinin autentifikasiyasına deyil, həm də onun bütövlüyünün yoxlanmasına xidmət edir. EDS-dən istifadə edərkən mesajın göndəricisinin autentifikasiyası üçün açıq və gizli açarlardan istifadə edilir. Prosedur asimmetrik şifrələmədə həyata keçirilən prosesə bənzəyir, lakin bu halda şifrələmə üçün şəxsi açar, şifrənin açılması üçün isə açıq açar istifadə olunur.

EDS tətbiqi alqoritmi bir sıra əməliyyatlardan ibarətdir. Bir cüt açar yaradılır - ictimai və özəl. Açıq açar maraqlı tərəfə (açarları yaradan tərəf tərəfindən imzalanmış sənədləri alan) verilir. Mesajı göndərən şəxs onu öz şəxsi açarı ilə şifrələyir və rabitə kanalları vasitəsilə alıcıya göndərir. Qəbul edən mesajı göndərənin açıq açarı ilə deşifrə edir.

Milli mətbuatın materiallarına görə.

İnternetin geniş şəkildə tətbiqi elektron biznesin inkişafına təsir etməyə bilməzdi.

Növlərdən biri e-biznes e-ticarət hesab edilir. BMT sənədlərinə uyğun olaraq, biznes onun dörd komponentindən ən azı ikisi (malların və ya xidmətlərin istehsalı, marketinq, çatdırılma və hesablaşmalar) İnternetdən istifadə etməklə həyata keçirildiyi təqdirdə elektron hesab olunur. Buna görə də, bu şərhdə, adətən, ən azı marketinq (tələbin təşkili) və İnternet vasitəsilə hesablaşmalar aparılarsa, alışın elektron ticarətlə əlaqəli olduğu güman edilir. “Elektron ticarət” anlayışının daha dar şərhi plastik kartlar əsasında nağdsız ödəniş sistemlərini xarakterizə edir.

Elektron ticarətin həyata keçirilməsi üçün əsas məsələ təhlükəsizlikdir.

İnternetdə fırıldaqçılığın yüksək səviyyəsi e-ticarətin inkişafına mane olur. İstehlakçılar, tacirlər və banklar maliyyə itkisi riski səbəbindən bu texnologiyadan istifadə etməkdən qorxurlar. İnsanlar onları maraqlandıran məlumatları əldə etmək üçün əsasən internetdən informasiya kanalı kimi istifadə edirlər. İnternetdə kataloqlar və verilənlər bazalarında edilən bütün axtarışların yalnız 2%-dən bir qədər çoxu alışla başa çatır.

Elektron ticarətdə mümkün fırıldaqçılıq növlərinin təsnifatı:

• fırıldaqçılar tərəfindən düzgün kart rekvizitlərindən (kart nömrəsi, istifadə müddəti və s.) istifadə etməklə həyata keçirilən əməliyyatlar (nağdsız əməliyyatlar);
• DB hack vasitəsilə müştəri məlumatlarını əldə etmək ticarət müəssisələri və ya alıcının şəxsi məlumatlarını ehtiva edən mesajlarını ələ keçirməklə;
• Qeyri-mövcud xidmətlər və ya mallar üçün müştərilərdən vəsait aldıqdan sonra yox olmaq üçün, bir qayda olaraq, qısa müddət ərzində meydana çıxan kəpənək mağazaları;
• malın dəyərinin alıcıya təklif olunan qiymətə nisbətdə artması və ya müştərinin hesabından təkrar debetlər;
• kart detalları və alıcının digər şəxsi məlumatları haqqında məlumat toplamaq üçün nəzərdə tutulmuş mağazalar və ya satış agentləri.

Protokol SSL(Secure Socket Layer) Amerika şirkəti Netscape Communications tərəfindən hazırlanmışdır. SSL xidmət protokolları (HTTP, NNTP, FTP və s. kimi) və nəqliyyat protokolları (TCP/IP) arasında nöqtə-nöqtə bağlantılarında ən müasir kriptoqrafiyadan istifadə etməklə məlumatların təhlükəsizliyini təmin edir. Əvvəllər heç bir xüsusi texniki fəndlər olmadan müştərilər və serverlər arasında mübadilə edilən məlumatlara baxmaq mümkün idi. Hətta bunun üçün xüsusi bir termin də var idi - "iyləyən".

SSL protokolu informasiyanın qarşılıqlı qorunmasını təmin etmək üçün ənənəvi vəzifələri həll etmək üçün nəzərdə tutulmuşdur:

• istifadəçi və server qarşılıqlı olaraq əmin olmalıdırlar ki, onlar saxta abunəçilərlə deyil, parolun qorunması ilə məhdudlaşmır, lazım olanlarla məlumat mübadiləsi aparırlar;
• server və müştəri arasında əlaqə qurulduqdan sonra onlar arasındakı bütün məlumat axını icazəsiz girişdən qorunmalıdır;
• və nəhayət, məlumat mübadiləsi zamanı tərəflər əmin olmalıdırlar ki, onun ötürülməsində təsadüfi və ya bilərəkdən təhriflər yoxdur.

SSL protokolu server və müştəriyə bir-birini autentifikasiya etməyə, şifrələmə alqoritmi haqqında razılığa gəlməyə və informasiya qarşılıqlı əlaqəsinə başlamazdan əvvəl ümumi kriptoqrafik açarlar yaratmağa imkan verir. Bu məqsədlə protokol iki açarlı (asimmetrik) kriptosistemlərdən, xüsusən də RSA-dan istifadə edir.

Müəyyən edilmiş təhlükəsiz əlaqə vasitəsilə ötürülən məlumatların məxfiliyi yaradılan şəbəkədə məlumat axınının şifrələnməsi ilə təmin edilir. ümumi açar simmetrik kriptoqrafik alqoritmlərdən istifadə etməklə (məsələn, RC4_128, RC4_40, RC2_128, RC2_40, DES40 və s.). Göndərilən məlumat bloklarının bütövlüyü hash funksiyalarından istifadə etməklə hesablanan (məsələn, MD5) mesaj identifikasiyası kodlarından (Message Autentification Code və ya MAC) istifadə etməklə idarə olunur.

SSL protokolu qorunan əlaqə tərəfləri arasında qarşılıqlı əlaqənin iki mərhələsini əhatə edir:

• SSL sessiyasının qurulması;
• məlumat axınının qorunması.

SSL sessiyasının qurulması mərhələsində server və (istəyə görə) müştəri autentifikasiya olunur, tərəflər istifadə olunan kriptoqrafik alqoritmlər barədə razılığa gəlir və ümumi "sirr" təşkil edir, bunun əsasında sonrakı əlaqənin qorunması üçün ümumi sessiya açarları yaradılır. . Bu addım həm də “əl sıxma proseduru” adlanır.

İkinci mərhələdə (məlumat axınının qorunması) tətbiq səviyyəsində məlumat mesajları bloklara bölünür, hər blok üçün mesajın autentifikasiya kodu hesablanır, sonra məlumatlar şifrələnir və qəbul edən tərəfə göndərilir. Qəbul edən tərəf əks hərəkətləri yerinə yetirir: şifrənin açılması, mesajın autentifikasiya kodunun yoxlanılması, mesajların yığılması, tətbiq səviyyəsinə ötürülməsi.

SSL dəstəyi üçün ən çox yayılmış proqram paketi SSLeay-dir. Telnet və FTP kimi proqramlara daxil edilə bilən C mənbə kodunu ehtiva edir.

SSL, asimmetrik kriptoqrafiya kimi də tanınan açıq açar kriptoqrafiyasından istifadə edir. O, iki açardan istifadə edir: biri şifrələmək üçün digəri mesajın şifrəsini açmaq üçün. İki açar riyazi olaraq elə bir şəkildə əlaqələndirilir ki, bir açardan istifadə edərək şifrələnmiş məlumat yalnız birincisi ilə qoşalaşmış digərindən istifadə etməklə deşifrə edilə bilər. Hər bir istifadəçinin iki açarı var - açıq və gizli (özəl). İstifadəçi açıq açarı istənilən şəbəkə müxbirinə təqdim edir. İstifadəçi və açıq açarı olan istənilən müxbir əmin ola bilər ki, açıq açarla şifrlənmiş verilənlər yalnız şəxsi açardan istifadə etməklə deşifrə edilə bilər.

Əgər iki istifadəçi mübadilə etdikləri məlumatın üçdə biri tərəfindən alınmayacağına əmin olmaq istəyirlərsə, onda onların hər biri açar cütünün bir komponentini (yəni açıq açar) digərinə ötürməli və digər komponenti (sirr) saxlamalıdır. açar). Mesajlar açıq açardan istifadə etməklə şifrələnir, yalnız şəxsi açardan istifadə etməklə deşifrə edilir. Mesajları hər kəsin oxuya biləcəyindən qorxmadan açıq şəbəkə üzərindən belə ötürmək olar.

Mesajın tamlığı və autentifikasiyası elektron rəqəmsal imzadan istifadə etməklə təmin edilir.

İndi sual açıq açarlarınızı necə yaymaqdır. Bunun üçün (və təkcə) xüsusi bir forma icad edildi - sertifikat. Sertifikat aşağıdakı hissələrdən ibarətdir:

• sertifikatı verən şəxsin/təşkilatın adı;
• sertifikatın mövzusu (şəhadətnamənin kimə verildiyi);
• mövzunun açıq açarı;
• bəzi vaxt parametrləri (sertifikatın etibarlılıq müddəti və s.).

Sertifikat sertifikatları verən şəxsin (və ya təşkilatın) gizli açarı ilə “imzalanır”. Bu cür əməliyyatları həyata keçirən təşkilatlara Sertifikat orqanları (CA) deyilir. SSL-i dəstəkləyən standart Veb brauzerində təhlükəsizlik bölməsinə keçsəniz, orada sertifikatları "imzalayan" tanınmış təşkilatların siyahısını görə bilərsiniz. Öz CA-nızı yaratmaq texniki cəhətdən asandır, lakin işin hüquqi tərəfini də həll etmək lazımdır və bu, ciddi problem ola bilər.

SSL, e-ticarət sistemlərinin qurulmasında istifadə edilən ən çox yayılmış protokoldur. Onun köməyi ilə bütün əməliyyatların 99%-i həyata keçirilir. SSL-in geniş yayılması ilk növbədə onun bütün brauzerlərin və veb-serverlərin tərkib hissəsi olması ilə bağlıdır. SSL-in başqa bir üstünlüyü protokolun sadəliyi və yüksək sürətəməliyyatın həyata keçirilməsi.

Eyni zamanda, SSL-in bir sıra əhəmiyyətli çatışmazlıqları var:

• alıcının şəxsiyyəti təsdiqlənməmişdir;
• satıcı yalnız URL ilə təsdiqlənir;
• rəqəmsal imza yalnız SSL sessiyasının qurulmasının əvvəlində autentifikasiya üçün istifadə olunur. Münaqişə vəziyyətlərində əməliyyatı sübut etmək üçün ya alıcı ilə satıcı arasında yaddaş resursları baxımından baha olan və praktikada istifadə edilməyən bütün dialoqu saxlamaq, ya da qəbzi təsdiq edən kağız nüsxələri saxlamaq tələb olunur. alıcı tərəfindən malların;
• tacir üçün kart rekvizitləri haqqında məlumatların məxfiliyi təmin edilmir.

SET protokolu

İnternetdə təhlükəsiz əməliyyatlar üçün başqa bir protokoldur SET(Təhlükəsizlik Elektronikası Əməliyyatı). SET X.509 rəqəmsal sertifikatlarının istifadəsinə əsaslanır.

SET Secure Transaction Protocol MasterCard və VISA tərəfindən IBM, GlobeSet və digər tərəfdaşların əhəmiyyətli töhfələri ilə hazırlanmış standartdır. Bu, alıcılara bu gün mövcud olan ən təhlükəsiz ödəniş mexanizmindən istifadə edərək onlayn mal almağa imkan verir. SET İnternetdə plastik kartlardan istifadə etməklə təhlükəsiz ödənişlərin həyata keçirilməsi üçün açıq standart çoxtərəfli protokoldur. SET kart sahibinin, satıcının və satıcının bankının hesabının çarpaz autentifikasiyasını, mal üçün ödənişin hazırlığını, mesajın bütövlüyünü və məxfiliyini yoxlamaq, qiymətli və həssas məlumatların şifrələnməsini təmin edir. Buna görə də SET-i internet üzərindən plastik kartlardan istifadə etməklə təhlükəsiz ödənişlərin həyata keçirilməsi üçün standart texnologiya və ya protokol sistemi adlandırmaq olar.

SET istehlakçılara və tacirlərə rəqəmsal sertifikatlar daxil olmaqla kriptoqrafiyadan istifadə edərək İnternet əməliyyatının bütün iştirakçılarının autentifikasiyasına imkan verir.

Potensial e-ticarət satışları onlayn ödənişlərin təhlükəsizliyindən narahat olan alıcılar, tacirlər və maliyyə institutları tərəfindən tələb olunan informasiya təhlükəsizliyi səviyyəsi ilə məhdudlaşır. Daha əvvəl qeyd edildiyi kimi, informasiya təhlükəsizliyinin əsas məqsədləri onun əlçatanlığını, məxfiliyini, bütövlüyünü və hüquqi əhəmiyyətini təmin etməkdir. SET, digər protokollardan fərqli olaraq, informasiya təhlükəsizliyinin bu problemlərini həll etməyə imkan verir.

Bir çox şirkətlərin öz e-ticarət proqramlarını inkişaf etdirməsi nəticəsində başqa bir problem yaranır. Bu proqram təminatından istifadə edildikdə, əməliyyatın bütün iştirakçıları eyni tətbiqlərə sahib olmalıdırlar, bu, praktiki olaraq mümkün deyil. Buna görə də, müxtəlif tərtibatçıların tətbiqləri arasında qarşılıqlı əlaqə mexanizmini təmin etmək üçün bir yol lazımdır.

Yuxarıda sadalanan problemlərə görə VISA və MasterCard texniki məsələlərlə məşğul olan digər şirkətlərlə (məsələn, SET protokolunun işlənib hazırlanmasında əsas tərtibatçı olan IBM) SET standartının spesifikasiyasını və protokol paketini müəyyən etmişlər. Bu açıq spesifikasiya tez bir zamanda e-ticarət üçün faktiki standarta çevrildi. Bu spesifikasiyada məlumatın şifrələnməsi onun məxfiliyini təmin edir. Rəqəmsal imza və sertifikatlar əməliyyatların iştirakçılarının identifikasiyasını və autentifikasiyasını (autentifikasiyasını) təmin edir. Rəqəmsal imza məlumatların bütövlüyünü təmin etmək üçün də istifadə olunur. Fərqli təchizatçıların tətbiqləri arasında qarşılıqlı fəaliyyətə imkan vermək üçün açıq protokollar dəsti istifadə olunur.

SET e-ticarət əməliyyatları üçün aşağıdakı xüsusi təhlükəsizlik tələblərini təmin edir:

• ödəniş məlumatlarının məxfiliyi və ödəniş məlumatları ilə birlikdə ötürülən sifariş məlumatlarının məxfiliyi;
• ödəniş məlumatlarının bütövlüyünün qorunması; bütövlüyü rəqəmsal imza ilə təmin edilir;
• autentifikasiya üçün xüsusi açıq açar kriptoqrafiyası;
• rəqəmsal imza və kart sahibinin sertifikatlarından istifadə etməklə təmin edilən kredit kartı sahibinin autentifikasiyası;
• tacirin autentifikasiyası və onun elektron rəqəmsal imza və tacir sertifikatlarından istifadə etməklə plastik kartlarla ödənişləri qəbul etmək imkanı;
• satıcının bankının prosessinq sistemi ilə əlaqə saxlamaqla plastik kartlarla ödənişləri qəbul edə bilən əməliyyat təşkilatı olmasının təsdiqi; bu təsdiq rəqəmsal imza və satıcının bankının sertifikatları ilə təmin edilir;
• bütün tərəflər üçün açıq açar sertifikatının autentifikasiyası nəticəsində əməliyyatlar üçün ödəniş etmək istəyi;
• kriptoqrafiyadan üstünlük təşkil etməklə məlumatların ötürülməsinin təhlükəsizliyi.

SET-in bir çox mövcud dəstək sistemləri üzərində əsas üstünlüyü informasiya təhlükəsizliyi kart sahibini, taciri və tacir bankını VISA və MasterCard ödəniş sistemlərinin bir sıra bank institutları ilə əlaqələndirən rəqəmsal sertifikatlardan (X.509 standartı, versiya 3) istifadə etməkdir.

• maliyyə sənayesi üçün açıq, tam sənədləşdirilmiş standart;
• əsasən beynəlxalq standartlarödəniş sistemləri;
• maliyyə sənayesində mövcud olan texnologiyalara və hüquqi mexanizmlərə əsaslanır.

Yeri gəlmişkən, IBM, Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard və Wal-Mart tərəfindən həyata keçirilən birgə layihə Chase Bank tərəfindən buraxılmış Wal-Mart MasterCard kartlarının sahiblərinə Wal-Mart Online-da mal almaq imkanı verir. ABŞ-ın ən böyük elektron ticarət qovşaqlarından biridir.

IBM veb saytındakı şəkildə göstərilən SET spesifikasiyasına uyğun olaraq ödəniş əməliyyatının iştirakçıları arasında qarşılıqlı əlaqə prosesini daha ətraflı nəzərdən keçirək:

Şəkildə:

• Kart sahibi- sifariş verən alıcı.
• Alıcının bankı - maliyyə strukturu, alıcıya kredit kartı verən.
• Satıcı- mal və xidmətlər təklif edən elektron mağaza.
• Satıcı bankı- satıcının əməliyyatlarına xidmət göstərməklə məşğul olan maliyyə strukturu.
• Ödəniş Gateway- adətən satıcının bankı tərəfindən idarə olunan, satıcıdan gələn sorğuları emal edən və alıcının bankı ilə qarşılıqlı əlaqədə olan sistem.
• Sertifikatlaşdırma təşkilatı- sertifikatları verən və yoxlayan etimad strukturu.

Əməliyyat iştirakçılarının qarşılıqlı əlaqələri şəkildə bərk xətlərlə (SET standartı və ya protokolu ilə təsvir edilən qarşılıqlı əlaqə) və nöqtəli xətlərlə (bəzi mümkün əməliyyatlar) göstərilmişdir.

SET standartının spesifikasiyasına uyğun olaraq əlaqələrin və məlumat axınlarının dinamikası aşağıdakı hərəkətləri əhatə edir:

1. İştirakçılar sertifikat verən təşkilatdan sertifikatlar tələb edir və alırlar.
2. Plastik kartın sahibi baxır Rəqəmsal kataloq, malı seçir və sifarişi satıcıya göndərir.
3. Tacir sübut kimi öz sertifikatını kart sahibinə təqdim edir.
4. Kart sahibi öz sertifikatını tacirə təqdim edir.
5. Satıcı yoxlama əməliyyatını yerinə yetirmək üçün ödəniş şlüzünü tələb edir. Şlüz təqdim edilmiş məlumatları elektron kartı verən bankın məlumatları ilə yoxlayır.
6. Yoxlamadan sonra ödəniş şlüzü nəticələri satıcıya qaytarır.
7. Bir müddət sonra, tacir bir və ya bir neçə maliyyə əməliyyatını tamamlamaq üçün ödəniş şlüzünü tələb edir. Şlüz alıcının bankından satıcının bankına müəyyən məbləğin köçürülməsi üçün sorğu göndərir.

Təqdim olunan qarşılıqlı əlaqə sxemi İnternetdə EMV standartının smart kartlarından istifadə üçün yaradılmış Chip Elektron Ticarət spesifikasiyası ilə informasiya təhlükəsizliyi baxımından dəstəklənir (www.emvco.com). Europay, MasterCard və VISA tərəfindən hazırlanmışdır. EMV mikroprosessor standartının və SET protokolunun birləşməsi əməliyyatın bütün mərhələlərində görünməmiş təhlükəsizlik səviyyəsini təmin edir.

20 iyun 2000-ci ildə RosBusinessConsulting öz saytında bir bildiriş yerləşdirdi ki, dünyanın ən böyük ödəniş sistemlərindən biri olan VISA 19 iyun 2000-ci ildə e-ticarət təhlükəsizliyi təşəbbüslərini elan etdi. Sistem nümayəndələrinin sözlərinə görə, bu addımlar onlayn alış-verişi alıcılar və satıcılar üçün daha təhlükəsiz etmək üçün nəzərdə tutulub. VISA hesab edir ki, yeni təşəbbüslərin tətbiqi internetdə əməliyyatlar üzrə mübahisələrin sayını 50% azaldacaq. Təşəbbüs iki əsas hissədən ibarətdir. Birinci hissə, kart sahibinin hesabından icazəsiz istifadə riskini azaltmaq və alıcılar və satıcılar üçün İnternetdə təcrübəni təkmilləşdirmək üçün nəzərdə tutulmuş Ödəniş Doğrulama Proqramıdır. İkincisi, elektron ticarət şirkətləri üçün kart və kart sahibinin məlumatlarını qorumaq üçün təhlükəsizlik standartları yaratmaq məqsədi daşıyan Qlobal Məlumat Təhlükəsizliyi Proqramıdır.

SSL və SET protokollarının müqayisəli xarakteristikası

Ödəniş sistemləri e-ticarətin ən vacib hissəsidir və onların internetdə mövcudluğunun gələcəyi əsasən internetdə informasiya təhlükəsizliyi və digər xidmət funksiyalarının imkanlarından asılıdır. SSL və SET iki tanınmış məlumat ötürmə protokoludur və hər ikisi İnternet ödəniş sistemlərində istifadə olunur. Biz SSL və SET-i müqayisə etməyə və onların ən mühüm xüsusiyyətlərindən bəzilərini qiymətləndirməyə çalışacağıq.

Beləliklə, tanış fiziki təmasların olmadığı virtual aləmdə autentifikasiyanın (autentifikasiya) ən vacib funksiyasını nəzərdən keçirək. SSL yalnız nöqtədən nöqtəyə əlaqəni təmin edir. Xatırlayırıq ki, kredit kartı əməliyyatında ən azı dörd tərəf iştirak edir: istehlakçı, tacir, emitent bank və qəbul edən bank. SET əməliyyatda iştirak edən bütün tərəflərdən autentifikasiya tələb edir.

SET tacirin plastik kart haqqında məlumatlara, emitent bankın isə müştərinin sifarişləri ilə bağlı şəxsi məlumatlarına daxil olmasının qarşısını alır. SSL serverlərə, kataloqlara, fayllara və digər məlumatlara nəzarət edilən giriş imkanı verir. Hər iki protokol müasir kriptoqrafiyadan və qarşılıqlı əlaqədə olan tərəflərin rəqəmsal imzalarını təsdiq edən rəqəmsal sertifikat sistemlərindən istifadə edir. SSL əsasən İnternetdə rabitənin təhlükəsizliyini təmin etmək üçün nəzərdə tutulub. SET ümumilikdə e-ticarət əməliyyatlarının mühafizəsini təmin edir ki, bu da qorunan qiymətli məlumatın hüquqi əhəmiyyətini təmin edir. Eyni zamanda, SET vasitəsilə əməliyyat SSL ilə müqayisədə daha yavaşdır və onun dəyəri daha yüksəkdir. Sonuncu xüsusiyyət, risklərin və əməliyyat xərclərinin hələ nəzərə alınmadığı bugünkü Rusiya bazarı üçün çox aktualdır.

Onu da əlavə edək ki, SSL-dən istifadə etməklə istehlakçılar plastik kartlarının təfərrüatlarını satıcıya açıqlamaq riski ilə üzləşirlər.

SET-in tətbiqi və istismarı uzun illərdir ki, dünyada bir neçə onlarla layihədə həyata keçirilir. Məsələn, ilk SET əməliyyatı 30 dekabr 1996-cı ildə PBS-də (Danimarka bankı) IBM və MasterCard arasında birgə layihə çərçivəsində həyata keçirilmişdir. Oxşar iş 1997-ci ildə Yaponiyanın ən böyük bankı olan Fuji Bankda aparılıb, burada protokol xüsusi Yaponiya qanunvericiliyinə uyğunlaşdırılmalı idi. Ötən müddət ərzində bu cür icra layihələri protokolun funksiyalarını və müvafiq sənədləri işləyib hazırlamağa imkan verib.

Yeri gəlmişkən, IBM ümumilikdə SET-in kompleks istifadəsinin bütün əsas aspektlərini əhatə edən və inkişaf etmiş infrastrukturu təmin edən tam məhsul dəstinə malikdir:

• Onlayn ticarətçilər üçün IBM Net.commerce Suite;
• Kart sahibləri üçün IBM Consumer Wallet;
• IBM Payment Gateway - banklar üçün ödəniş qapısı;
• IBM Net. Ödəniş Reyestri autentifikasiya və sertifikatlaşdırma məhsuludur.

SET IBM, Hewlett Packard, Sun Microsystems və Microsoft kimi şirkətlərin müxtəlif hesablama platformalarında işləyir.

Öz növbəsində, SSL əsasən Veb proqramlarında və İnternetdə rabitənin təhlükəsizliyini təmin etmək üçün istifadə olunur. SSL-in SSLeay adlı pulsuz versiyası da var. Telnet və FTP kimi proqramlara daxil edilə bilən C mənbə kodunu ehtiva edir. Bu keyfiyyətlərə görə SSL korporativ intranetlərdə və az sayda istifadəçisi olan sistemlərdə geniş yayılmışdır.

SET protokolunun texnoloji mükəmməlliyinə baxmayaraq, onun dünyada istifadəsi çox məhduddur. Bunun bir çox səbəbləri var, onların arasında həlledicisi SET protokoluna əsaslanan elektron ticarət sisteminin tətbiqinin yüksək qiymətidir (SET həllinin qiyməti 600 000 dollardan 1 500 000 dollara qədər dəyişir).

SSL protokolu ictimai şəbəkə üzərindən ötürülən əməliyyat məlumatlarının yalnız məxfiliyini təmin edir, lakin eyni zamanda onun həyata keçirilməsi xeyli ucuz başa gəlir. Nəticədə, müasir e-ticarət sistemlərinin böyük əksəriyyəti SSL protokolundan istifadə edir.

Mütəxəssislər və SET protokolunun tərtibatçıları bu standartın sürətli və geniş şəkildə qəbulunu proqnozlaşdırmaqda səhv etdilər. Üstəlik, SET protokolunun artıq dünən olduğu və onun sağ qalma şansının cüzi olduğu barədə davamlı söhbətlər gedir.

Belə söhbətlər 2000-ci ilin yayında, VISA International 3D SET protokolunun (SET-in bir variantı) Aİ ölkələri, Latın Amerikası və bəzi digər Avropa ölkələri, o cümlədən Rusiya üçün standarta çevrildiyi bəyanatı verdikdə başladı. Eyni zamanda, 3D SSL protokolu (protokolun başqa adı 3D Payerdir) ABŞ-ın ən böyük bazarında standart olaraq elan edilmişdir.

Visa Int Rusiya nümayəndəliyinin rəhbəri. Lou Naumovski SET-in tələb tapmadığı ilə razılaşır:

“Bu, çox yaxşı texnologiya. Amma təkcə Rusiya deyil, həm də xarici bankların reaksiyasına baxsaq, bu, bir az bahadır. Kart əməliyyatlarını izləmək üçün SET protokolundan istifadə edən emitent bank ekvayinq banklarının məlumat bazasını saxlamalıdır. satış nöqtələri. Biz bu protokola daha ucuz alternativ tapmağa çalışdıq”.

2001-ci ilin may ayında Visa ödəniş sistemində autentifikasiya üçün qlobal standart olduğunu iddia edən 3D Secure standartı üçün spesifikasiyalar dərc olundu. 2002-ci ilin iyulunda Avropa İttifaqının qərarı ilə bütün onlayn mağazalar bu protokol səviyyəsində identifikasiya aldılar. Ona görə də belə onlayn mağazaların ekvayer bankı onlara bu protokolu təqdim edə bilməlidir. 3D Secure olmadıqda, mübahisəli əməliyyatlar üçün bütün məsuliyyəti özü daşıyır. Əgər o, 3D Secure-dan istifadə edirsə, lakin emitent bank etmirsə, sonuncu məsuliyyəti öz üzərinə götürür.

3D Secure-un işləmə prinsipi ondan ibarətdir ki, üç müxtəlif domen mövcuddur - emitent bank, onlayn mağaza və Visa, onların domeni vasitəsilə alıcı, satıcı və banklar arasında mesaj gedir. Bütün mesajların İnternetdən keçməsi çox vacibdir. Eyni zamanda, Visa məlumatların məxfiliyini təmin edir. Alıcı "Verified by Visa" şüarının üzərindəki internet səhifəsinə kliklədikdən və parolunu daxil etdikdən sonra bu məlumat emitent banka gedir və eyniləşdirmə baş verir. Emitent bank Visa domeni vasitəsilə onlayn mağazaya sorğu göndərir, bundan sonra bu mağaza onun alıcı bankı tərəfindən müəyyən edilir. Beləliklə, kart sahibinin məlumatları yalnız emitent banka məlumdur. Eyni zamanda, kart sahibi əmindir ki, bu mağazada Verified by Visa var, yəni ekvayer bank vasitəsilə Visa tərəfindən sertifikatlaşdırılıb. Emitent bankın Visa domenindən mağazanın Visa tərəfindən Verified olduğuna dair təsdiqi almadığı halda, əməliyyat baş tutmayacaq.

Təbii ki, kart sahibi Verified by Visa statusu olmayan digər onlayn mağazalarda da alış-veriş edə bilər. Sonra emitent bank mübahisəli əməliyyatlara görə məsuliyyət daşıyır və bu barədə müştərilərinə xəbərdarlıq etməli olacaq.

Bütövlükdə hər hansı bir e-ticarət sisteminin təhlükəsizliyi onun məlumatlarına müxtəlif növ müdaxilələrdən qorunmasındadır. Bütün bu müdaxilələri bir neçə kateqoriyaya bölmək olar:

Məlumat oğurluğu (məsələn, verilənlər bazasından kredit kartı nömrələrinin oğurlanması);

müdaxilə (məsələn, bu qədər böyük miqdarda məlumat üçün nəzərdə tutulmayan saytın məlumat yüklənməsi);

Məlumatların korlanması (məsələn, ödəniş və faktura fayllarında məbləğlərin dəyişdirilməsi və ya mövcud olmayan sertifikatların və ya müəyyən bir sayta məlumatların ötürülməsi üçün saytların yaradılması);

məlumatların məhv edilməsi (məsələn, saytdan və ya istifadəçidən sayta ötürülmə zamanı);

Hərəkətləri yerinə yetirməkdən imtina (məsələn, sifariş vermək və ya mal almaq faktından);

Vicdanlı istifadəçi tərəfindən saytın imkanlarından qəsdən sui-istifadə;

məlumatlara icazəsiz giriş:

məlumatların icazəsiz surətdə çıxarılması, yenilənməsi və ya digər istifadəsi;

İcazəsiz əməliyyatlar

· məlumatların icazəsiz baxılması və ya ötürülməsi (məsələn, söhbətdə və ya forumda təxəllüslərin əvəzinə ziyarətçilərin həqiqi adlarının göstərilməsi).

Eyni zamanda, bu sahədə təhlükəsizlik məsələlərində hüquqi xarakterli bir sıra obyektiv problemlərin mövcud olduğunu nəzərə almamaq olmaz - texnologiyalar daha sürətlə inkişaf edir. qanunvericilik bazası, təcavüzkarı cinayət yerində tutmaq çətindir və cinayətlərin dəlilləri və izləri iz qoymadan asanlıqla məhv edilə bilər. Bütün bunlar şirkətlərin öz e-bizneslərini qorumaq üçün diqqətlə siyasət hazırlamalarını zəruri edir. Tam və mütləq təhlükəsizliyə nail olmaq mümkün deyil, çünki e-biznes sistemləri bir çox hazır və sifariş əsasında qurulur. proqram təminatı tətbiqləri müxtəlif satıcılar və müvafiq xidmət təminatçıları və ya biznes tərəfdaşları tərəfindən təmin edilən xeyli sayda xarici xidmətlər. Bu komponentlərin və xidmətlərin əhəmiyyətli bir hissəsi adətən müştəri şirkətin İT mütəxəssisləri üçün qeyri-şəffaf olur, əlavə olaraq, onların bir çoxu yaradıcıları tərəfindən tez-tez dəyişdirilir və təkmilləşdirilir. Bütün bunları potensial təhlükəsizlik qüsurları üçün diqqətlə yoxlamaq mümkün deyil və bütün bu qüsurları aradan qaldırmaq daha çətindir. Mümkün olsa belə, sözdə insan faktorunu istisna etmək olmaz, çünki bütün sistemlər insanlar tərəfindən yaradılır, dəyişdirilir və idarə olunur və Kompüter Təhlükəsizliyi İnstitutunun araşdırmasına görə, respondentlərin 81% -i qeyd etdi ki, bu, daxili şirkətləri ən çox narahat edən təhlükə - öz işçilərinin qəsdən və ya bilmədən hərəkətləri.

Daxili təhlükələrdən qorunma probleminin iki aspekti var: texniki və təşkilati. Texniki aspekt informasiyaya icazəsiz daxil olma ehtimalını aradan qaldırmaq istəyindədir. Bunun üçün belə məşhur vasitələr:

parollara dəstək və onların müntəzəm dəyişdirilməsi; sistemin idarə edilməsi üçün zəruri olan minimum hüquqların verilməsi;

kadr dəyişikliyi və ya işçinin işdən çıxarılması ilə girişin dərhal məhv edilməsi halında giriş qrupunun vaxtında dəyişdirilməsi üçün standart prosedurların mövcudluğu.

Təşkilati aspekt, şirkətlər tərəfindən nadir hallarda istifadə edilən haker hücumlarından qorunma və qarşısının alınması üsullarını adi əməliyyatlara çevirərək, daxili mühafizənin rasional siyasətini inkişaf etdirməkdir, məsələn:

şirkətdə ümumi təhlükəsizlik mədəniyyətinin tətbiqi;

hack üçün proqram testi;

Hər bir haker cəhdini izləmək (nə qədər uğurlu olmasından asılı olmayaraq) və hərtərəfli araşdırmaq;

· bu cür hərəkətləri aşkar etmək imkanına malik olan əməkdaşların dairəsini maksimum dərəcədə genişləndirmək məqsədi ilə işçilər üçün hər il təhlükəsizlik və kibercinayətkarlıq üzrə təlimlərin keçirilməsi, o cümlədən haker hücumlarının konkret əlamətləri haqqında məlumatlar;

· məlumatın qəsdən dəyişdirilməsi və ya məhv edilməsi hallarının işlənməsi üçün aydın prosedurların tətbiqi.

Xarici müdaxilədən qorunmaq üçün bu gün sındırma cəhdlərini erkən mərhələdə müəyyən etməyə kömək edən və mümkünsə xarici şəbəkələr vasitəsilə təcavüzkarın sistemə daxil olmasının qarşısını alan mahiyyətcə müxtəlif növ filtrlərdən ibarət bir çox sistem mövcuddur.

marşrutlaşdırıcılar - ikinci dərəcəli şəbəkələr arasında yerləşən və ona qoşulmuş şəbəkə seqmentlərinin daxil olan və çıxan trafikini idarə edən şəbəkə trafikinə nəzarət cihazları;

firewall - müəyyən bir sorğu nəzarət növündən istifadə edərək sayta xarici hücumları izləyən və dayandıran proqram təminatından istifadə edərək şəxsi şəbəkələrin ictimai şəbəkələrdən təcrid edilməsi vasitələri;

proqram şlüzləri - şəbəkə administratorunun paket filtrini həyata keçirən marşrutlaşdırıcıları istiqamətləndirən təhlükəsizlik siyasətini həyata keçirən vasitələr;

Intrusion Detection Systems (IDS) - istifadəçilər tərəfindən qəsdən edilən hücumları və sistem resurslarından qəsdən sui-istifadəni aşkar edən sistemlər;

· təhlükəsizliyin qiymətləndirilməsi alətləri (xüsusi skanerlər və s.) - şəbəkəni müntəzəm olaraq problemlərə görə skan edən və həyata keçirilən təhlükəsizlik siyasətinin effektivliyini yoxlayan proqramlar.

Ümumiyyətlə, şirkətin etməli olduğu ilk şey nəyin və kimdən qorunmalı olduğunu anlamaqdır. Bu sahədə əsas oyunçular şirkətin səhmdarları, istehlakçıları, işçiləri və biznes tərəfdaşlarıdır və onların hər biri üçün öz mühafizə sxemini hazırlamaq lazımdır. E-ticarət proqramlarının bütün tətbiqləri və şirkətin müxtəlif sahələrində onların qorunması üçün bələdçi kimi xidmət etmək üçün bütün təhlükəsizlik tələbləri sənədləşdirilməlidir. Bundan əlavə, bu, şirkət daxilində təhlükəsizlik məsələlərinə xidmət göstərmək üçün ayrıca büdcə yaratmağa və bu ehtiyacların xərclərini optimallaşdırmağa, hər bir fərdi biznes layihəsinin hazırlanması zamanı hər hansı təhlükəsizlik məsələlərinin təkrarlanmasını aradan qaldırmağa imkan verəcək.

Təəssüf ki, bu gün praktika elədir ki, qoruma siyasəti rəhbərlər tərəfindən İT departamentinin mərhəmətinə verilir, işçiləri hesab edirlər ki, texnoloji məsələlər bir növ "kağız" qaydalardan daha vacibdir və bundan əlavə, onlar şirkət daxilində aydın mühafizə prosedurlarını tələb edən biznesin müəyyən sahələrində mütəxəssis deyillər.

Bundan əlavə, müxtəlif proqram təminatı ilə əlaqə qurarkən, inteqrasiya olunmuş məhsulların hər birinin istehsalçılarına məlum olmayan xüsusi problemlər ola bilər. Bu cür qarşılıqlı əlaqələrin öyrənilməsi istənilən texnoloji və büdcə qərarlarından əvvəl olmalıdır. Və indiyə qədər buna çox az diqqət yetirilib.

İnternet istifadəçilərinin sayı bir neçə yüz milyona çatıb və “virtual iqtisadiyyat” şəklində yeni keyfiyyət yaranıb. Burada alış-veriş alış-veriş saytları vasitəsilə, yeni biznes modellərindən, öz marketinq strategiyasından və s.

E-ticarət (EC) İnternet üzərindən malların satışı üzrə biznes fəaliyyətidir. Bir qayda olaraq, AK-nin iki forması fərqləndirilir:

müəssisələr arasında ticarət (biznesdən biznesə, B2B);

müəssisələrlə fiziki şəxslər arasında ticarət, yəni. istehlakçılar (biznesdən istehlakçıya, B2C).

AK aşağıdakı kimi yeni konsepsiyaların yaranmasına səbəb oldu:

Elektron mağaza - mallara tələbat olduqda istehsalçılar və ya dilerlər tərəfindən istifadə olunan vitrin və ticarət sistemləri.

Elektron kataloq - müxtəlif istehsalçıların məhsullarının geniş çeşidi ilə.

Elektron auksion, multimedia interfeysinə, İnternetə çıxış kanalına xas olan və malların xüsusiyyətlərini əks etdirən İnternet texnologiyalarından istifadə edən klassik auksionun analoqudur.

Elektron mağaza, adi firmaların məhsullarını nümayiş etdirdiyi, effektiv məhsul markası (Gostiny Dvor, GUM və s.) olan adi univermağın analoqudur.

Alıcıların maraq qrupları (fan-klublar, assosiasiyalar və s.) tərəfindən təşkil olunduğu virtual icmalar (icmalar).

CI sahəsində İnternet əhəmiyyətli faydalar gətirir:

iri özəl şirkətlərin xammal və komponentlərin alışının internet birjalarına köçürülməsindən qənaətləri 25-30%-ə çatır;

real vaxt rejimində dünyanın hər yerindən rəqabət aparan təchizatçıların hərracda iştirakı malların və ya xidmətlərin tədarükü üçün onların proqramlaşdırdığı qiymətlərin aşağı düşməsinə səbəb olur;

bütün dünyadan olan alıcılar arasında rəqabət nəticəsində mal və ya xidmətlərin qiymət artımı;

tələb olunan işçilərin sayını və sənədləşmə işlərinin həcmini azaltmaqla qənaət.

Qərb ölkələrində AK-də dominant mövqe 2007-ci ilə qədər müxtəlif hesablamalara görə 3-6 trilyon arasında olacaq B2B sektoruna çevrilmişdir. dollar təşkil edib.

Aparat və proqram təminatı satan, kompüter və telekommunikasiya xidmətləri göstərən şirkətlər öz bizneslərini İnternetə köçürməkdən ilk faydalananlar oldu.

Hər bir onlayn mağaza iki əsas komponentdən ibarətdir: elektron vitrin və ticarət sistemi.

Elektron vitrin internet səhifəsində satılan mallar haqqında məlumatları özündə əks etdirir, mağazanın məlumat bazasına girişi təmin edir, müştərilərin qeydiyyatını aparır, müştərinin elektron “səbəti” ilə işləyir, sifariş verir, marketinq məlumatlarını toplayır, ticarət sisteminə məlumat ötürür.

Ticarət sistemi malları çatdırır və onlar üçün ödənişi emal edir. Ticarət sistemi, bir şirkətə məxsus olan Veb serverdə yer icarəyə götürən müxtəlif firmalara məxsus mağazalar toplusudur.

Onlayn mağazanın texnologiyası aşağıdakı kimidir:

Alıcı malların və qiymətlərin kataloqu ilə elektron vitrində (Veb sayt) seçir arzu olunan məhsul və şəxsi məlumatlarla (ad, poçt və e-poçt ünvanları, üstünlük verilən çatdırılma və ödəniş üsulu) formanı doldurur. Əgər ödəniş internet vasitəsilə həyata keçirilirsə, o zaman informasiya təhlükəsizliyinə xüsusi diqqət yetirilir.

Buraxılmış malların sifarişin tamamlandığı onlayn mağazanın ticarət sisteminə köçürülməsi. Ticarət sistemi əl və ya avtomatlaşdırılmış şəkildə işləyir. Manual sistem az miqdarda malla, bir qayda olaraq, avtomatlaşdırılmış sistem almaq və qurmaq mümkün olmadıqda, Poçt Ticarəti prinsipi ilə fəaliyyət göstərir.

Malların çatdırılması və ödənilməsi. Malların alıcıya çatdırılması mümkün yollardan biri ilə həyata keçirilir:

şəhər və onun ətrafında kuryer saxlamaq;

ixtisaslaşmış Daşıyıcı xidməti(o cümlədən xaricdən);

• götürmə;

  telekommunikasiya şəbəkələri informasiya kimi xüsusi məhsul verir.

Mallar üçün ödəniş aşağıdakı yollarla edilə bilər:

malların qəbulundan əvvəl və ya anında;

kuryerə nağd pulla və ya real mağazaya baş çəkərkən;

poçt köçürməsi;

Bank əməliyyatı;

çatdırılma zamanı nağd pul;

kredit kartlarından istifadə (VISA, MASTER CARD və s.);

elektron ödəniş sistemləri vasitəsilə ayrı-ayrı kommersiya bankları vasitəsilə (TELEBANK, ASSIST və s.).

Son zamanlar dünyada e-ticarət və ya internet vasitəsilə ticarət kifayət qədər sürətlə inkişaf edir. Təbii ki, bu proses birbaşa maliyyə qurumlarının iştirakı ilə həyata keçirilir. Və bu ticarət yolu getdikcə daha çox populyarlaşır, ən azı yeni elektron bazar müəssisələrin və əhalinin böyük bir hissəsinə fayda verə bilər.

Kommersiya fəaliyyəti elektron şəbəkələr bəzi fiziki məhdudiyyətləri aradan qaldırır. Şirkətlər kompüter sistemlərini internetə qoşaraq, bayram və həftə sonları olmadan müştərilərə 24 saat dəstək verə bilirlər. Məhsulların sifarişi istənilən vaxt istənilən yerdən götürülə bilər.

Lakin bu “medalın” öz əks tərəfi var. Elektron ticarətin ən çox inkişaf etdiyi xaricdə əməliyyatlar və ya malların dəyəri çox vaxt 300-400 dollarla məhdudlaşır. Bu, kompüter şəbəkələrində informasiya təhlükəsizliyi problemlərinin kifayət qədər həll edilməməsi ilə bağlıdır. BMT-nin Cinayətkarlığın Qarşısının Alınması və Nəzarət Komitəsinin məlumatına görə, kompüter cinayətləri beynəlxalq problemlərdən biri səviyyəsinə çatıb. ABŞ-da bu növ cinayət fəaliyyəti gəlirlilik baxımından silah və narkotik ticarətindən sonra üçüncü yeri tutur.

2006-cı ildə İnternet vasitəsilə elektron ticarətin dünya dövriyyəsinin həcmi Forrester Tech şirkətinin proqnozlarına görə, 1,8-2 trilyon arasında ola bilər. dollar Bu cür geniş proqnoz diapazonu e-ticarətin iqtisadi təhlükəsizliyinin təmin edilməsi problemi ilə müəyyən edilir. Əgər təhlükəsizlik səviyyəsi bugünkü səviyyədə qalarsa, o zaman elektron ticarətin qlobal dövriyyəsi daha da kiçik ola bilər. Buradan belə nəticə çıxır ki, e-ticarət sisteminin aşağı təhlükəsizliyi elektron biznesin inkişafına mane olur.

Elektron ticarətin iqtisadi təhlükəsizliyinin təmin edilməsi probleminin həlli ilk növbədə onda istifadə olunan informasiya texnologiyalarının mühafizəsi, yəni informasiya təhlükəsizliyinin təmin edilməsi məsələlərinin həlli ilə bağlıdır.

Biznes proseslərinin İnternet mühitinə inteqrasiyası təhlükəsizliklə bağlı vəziyyətin əsaslı şəkildə dəyişməsinə gətirib çıxarır. Elektron sənəd əsasında hüquq və vəzifələrin yaradılması həm sənədi göndərən, həm də onu alan şəxs tərəfindən təhdidlərin məcmusundan hərtərəfli müdafiəni tələb edir.

Təəssüf ki, elektron ticarət müəssisələrinin rəhbərləri informasiya təhdidlərinin ciddiliyini və yalnız informasiya hücumlarına məruz qaldıqdan sonra öz resurslarının qorunmasının təşkilinin vacibliyini tam dərk edirlər. Göründüyü kimi, bütün bu maneələr informasiya təhlükəsizliyi sahəsinə aiddir.

Kommersiya əməliyyatlarının aparılması üçün əsas tələblər arasında məxfilik, bütövlük, autentifikasiya, avtorizasiya, zəmanətlər və məxfilik var.

İnformasiya təhlükəsizliyinə nail olunduqda onun əlçatanlığının, məxfiliyinin, bütövlüyünün və hüquqi əhəmiyyətinin təmin edilməsi əsas vəzifələr . Hər bir təhlükə onun təhlükəsiz məlumatın bu dörd xüsusiyyətinə və ya keyfiyyətinə necə təsir göstərə biləcəyi baxımından nəzərdən keçirilməlidir. Məxfilik o deməkdir ki, məhdud giriş məlumatı yalnız onun nəzərdə tutulduğu şəxs üçün əlçatan olmalıdır. Altında bütövlük informasiya onun təhrif olunmamış formada mövcudluq xüsusiyyəti kimi başa düşülür. Mövcudluq informasiya sistemin müvafiq səlahiyyəti olan subyektlər tərəfindən informasiyaya vaxtında maneəsiz çıxışını təmin etmək qabiliyyəti ilə müəyyən edilir. Hüquqi əhəmiyyətiÖlkəmizdə informasiya təhlükəsizliyinin normativ-hüquqi bazasının yaradılması ilə yanaşı, son dövrlərdə informasiya əhəmiyyət kəsb edir.

İlk dörd tələbi texniki vasitələrlə təmin etmək olarsa, sonuncu iki tələbin yerinə yetirilməsi həm texniki vasitələrdən, həm də ayrı-ayrı şəxslərin və təşkilatların məsuliyyətindən, eləcə də istehlakçını mümkün satıcı saxtakarlığından qoruyan qanunlara əməl olunmasından asılıdır.

Hərtərəfli informasiya təhlükəsizliyinin təmin edilməsinin tərkib hissəsi kimi, ilk növbədə, əsas məqamı vurğulamaq lazımdır e-biznes təhlükəsizliyi problemləri bunlara daxildir: informasiyanın rabitə kanalları ilə ötürülməsi zamanı mühafizəsi; kompüter sistemlərinin, verilənlər bazalarının və elektron sənəd dövriyyəsinin mühafizəsi; məlumatların uzunmüddətli saxlanmasını təmin etmək elektron formatda; əməliyyatların təhlükəsizliyinin təmin edilməsi, kommersiya məlumatlarının məxfiliyi, autentifikasiyası, əqli mülkiyyətin qorunması və s.

E-ticarət təhlükələrinin bir neçə növü var:

Sistemə xaricdən daxil olma.

Şirkət daxilində icazəsiz giriş.

Məlumatın qəsdən tutulması və oxunması.

Məlumatların və ya şəbəkələrin qəsdən pozulması.

Yanlış (fırıldaqçılıq məqsədləri üçün) istifadəçi identifikasiyası.

Hacking proqram və hardware qorunması.

İstifadəçinin bir şəbəkədən digərinə icazəsiz girişi.

Virus hücumları.

Xidmətin rədd edilməsi.

Maliyyə fırıldaqçılığı.

Bu təhdidlərə qarşı mübarizə aparmaq üçün müxtəlif texnologiyalara əsaslanan bir sıra üsullardan istifadə olunur, yəni: şifrələmə – onların oxunmasının və ya təhrif edilməsinin qarşısını alan verilənlərin kodlaşdırılması; göndərənin və alıcının şəxsiyyətini təsdiq edən rəqəmsal imzalar; elektron açarlardan istifadə edərək gizli texnologiyalar; təhlükəsizlik divarları; virtual və şəxsi şəbəkələr.

Qorunma üsullarının heç biri universal deyil, məsələn, firewall virusları yoxlamır və məlumatların bütövlüyünü təmin edə bilmir. Avtomatik mühafizənin pozulmasına qarşı mübarizə aparmaq üçün tamamilə etibarlı bir yol yoxdur və onun pozulmasına qədər yalnız vaxt məsələsi var. Lakin bu cür qorunmanın çatlaması üçün lazım olan vaxt, öz növbəsində, onun keyfiyyətindən asılıdır. Deməliyəm ki, yeni texnologiyalar bir qədər qeyri-bərabər tətbiq olunsa da, İnternetdə əlaqələri və tətbiqləri qorumaq üçün proqram və avadanlıq uzun müddətdir hazırlanmışdır.

Hansı təhdidlər e-ticarət şirkətini gözləyin hər mərhələdə :

elektron mağazanın serverinin internet səhifəsinin dəyişdirilməsi (sorğuların başqa serverə yönləndirilməsi), müştəri haqqında, xüsusən onun kredit kartları haqqında məlumatların üçüncü şəxslərə verilməsi;

elektron mağazanın işçiləri tərəfindən saxta sifarişlərin və müxtəlif fırıldaq formalarının yaradılması, məsələn, verilənlər bazası ilə manipulyasiyalar (statistik məlumatlar göstərir ki, kompüter insidentlərinin yarıdan çoxu onların öz işçilərinin fəaliyyəti ilə bağlıdır);

e-ticarət şəbəkələri vasitəsilə ötürülən məlumatların tutulması;

zərərli faktorların şirkətin daxili şəbəkəsinə nüfuz etməsi və elektron mağazanın komponentlərinə güzəştə getməsi;

xidmətdən imtina hücumlarının həyata keçirilməsi və e-ticarət saytının pozulması və ya pozulması.

Bu cür təhdidlərin həyata keçirilməsi nəticəsində şirkət müştərilərin etibarını itirir, potensial və/və ya natamam əməliyyatlardan pul itirir, elektron mağazanın fəaliyyətini pozur, fəaliyyətini bərpa etmək üçün vaxt, pul və insan resursları sərf edir.

Təbii ki, internet üzərindən ötürülən məlumatların ələ keçirilməsi ilə bağlı təhlükələr təkcə elektron ticarət sahəsinə aid deyil. Sonuncu ilə əlaqədar olaraq, onun sistemlərində böyük iqtisadi əhəmiyyət kəsb edən məlumatların dövriyyədə olması xüsusi əhəmiyyət kəsb edir: kredit kartı nömrələri, hesab nömrələri, müqavilələrin məzmunu və s.

İlk baxışdan belə görünə bilər ki, hər bir belə hadisə konkret elektron biznes subyektinin daxili işindən başqa bir şey deyil. Bununla belə, 2000-ci ili nəzərdən keçirək ki, bu, həqiqətən ümummilli olan aparıcı e-biznes serverlərinin kütləvi uğursuzluqları ilə yadda qaldı: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek və E*Trade. FTB araşdırması müəyyən edib ki, bu serverlər həyata keçirilən DoS hücumları nəticəsində onlara göndərilən xidmət sorğularının sayının dəfələrlə artması səbəbindən sıradan çıxıb. Məsələn, Alış serverinə sorğu axınları orta göstəricini 24 dəfə, limiti isə 8 dəfə keçib. Müxtəlif hesablamalara görə, Amerika iqtisadiyyatının bu hərəkətlərdən dəydiyi iqtisadi zərər bir milyard yarım marka ətrafında dəyişir.

Təhlükəsizliyin təmin edilməsi təkcə uğurlu e-biznes üçün ilkin şərt deyil, həm də qarşı tərəflər arasında etibarlı münasibətlərin əsasıdır. Elektron biznesin mahiyyəti aktiv məlumat mübadiləsini, təminatsız ictimai şəbəkə vasitəsilə əməliyyatları əhatə edir ki, bu da sahibkarlıq subyektləri arasında etibarlı əlaqələr olmadan sadəcə mümkün deyil. Buna görə də təhlükəsizlik kompleksdir, o cümlədən veb-serverlərə və veb proqramlara çıxış, istifadəçilərin autentifikasiyası və avtorizasiyası, məlumatların bütövlüyü və məxfiliyinin təmin edilməsi, elektron rəqəmsal imzanın tətbiqi və s.

İnternetin artan kommersiyalaşması ilə şəbəkə üzərindən ötürülən məlumatların qorunmasına daha çox diqqət yetirilir. İnternet üzərindən təhlükəsiz qarşılıqlı əlaqəni təşkil etmək üçün nəzərdə tutulmuş ixtisaslaşdırılmış protokollar (məsələn, SET, SOCKS5, SSL, SHTTP və s.) bütün dünyada geniş şəkildə tanınır və bankçılıq və ticarət yaratmaq üçün xarici tərtibatçılar tərəfindən uğurla istifadə olunur. elektron sistemlərİnternet əsaslı.

Xaricdə müstəqil konsorsium - İnternet Təhlükəsizliyi İşçi Qrupu (ISTF) - informasiya təhlükəsizliyi alətləri, elektron biznes və İnternet xidməti provayderlərini təchiz edən şirkətlərin nümayəndələrindən və ekspertlərindən ibarət ictimai təşkilatdır.

ISTF konsorsiumu diqqət çəkir informasiya təhlükəsizliyinin on iki sahəsi , ilk növbədə elektron biznes təşkilatçılarının diqqətini cəlb etməlidir:

identifikasiya məlumatının obyektiv təsdiqi mexanizmi;

şəxsi, şəxsi məlumat hüququ;

təhlükəsizlik hadisələrinin müəyyənləşdirilməsi;

korporativ perimetrin qorunması;

hücumların tərifi;

potensial təhlükəli məzmuna nəzarət;

giriş nəzarəti;

idarəetmə;

hadisələrə reaksiya.

Məlumdur ki, elektron rəqəmsal imza (EDS) alqoritmlərinin istifadəsi bir çox təhlükələrdən etibarlı şəkildə qorunmağa imkan verir, lakin bu, yalnız bu alqoritmlər ağlabatan qarşılıqlı əlaqə protokollarına, münasibətlərin qanuni cəhətdən düzgün qurulmasına və məntiqi qapalı sistemə toxunduqda doğrudur. etibardan.

İnformasiyanın mühafizəsinin əsasını rəqəmsal imzanın hesablanması proseslərinin sadə məntiqi və onun bir cüt müvafiq düymə ilə yoxlanılması təşkil edir, lakin fundamental riyazi tədqiqata əsaslanan məntiqdir. Yalnız gizli açarın sahibi rəqəmsal imzanı hesablaya bilər və gizli açara uyğun açıq açarı olan hər kəs onu yoxlaya bilər.

Təbii ki, informasiya təhlükəsizliyinin təmin edilməsinə bu sahənin mütəxəssisləri cəlb edilməlidir, lakin ayrı-ayrı təsərrüfat subyektlərinin iqtisadi təhlükəsizliyinə cavabdeh olan dövlət orqanlarının, mülkiyyət növündən asılı olmayaraq müəssisə və idarələrin rəhbərləri bu məsələləri daim öz sahələrində saxlamalıdırlar. görmə qabiliyyəti. Onlar üçün aşağıda təşkilatın əsas funksional komponentləri inteqrasiya olunmuş sistem informasiya təhlükəsizliyi:

rabitə protokolları;

kriptoqrafiya vasitələri;

ictimai şəbəkələrdən iş yerlərinə girişə nəzarət vasitələri;

antiviral komplekslər;

müdaxilənin aşkarlanması və audit proqramları;

istifadəçi girişinə nəzarətin mərkəzləşdirilmiş idarə edilməsi üçün alətlər, həmçinin açıq şəbəkələr üzərindən istənilən proqramların məlumat paketləri və mesajlarının təhlükəsiz mübadiləsi.

İnternetdə uzun müddətdir ki, standartlaşdırma prosesində təklif olunan texnologiyalara diqqətlə rəhbərlik edən bir sıra komitələr, əsasən də könüllü təşkilatlar var. İnternet Mühəndisliyi İşçi Qrupunun (IETF) əsas hissəsini təşkil edən bu komitələr bir neçə mühüm protokolu standartlaşdıraraq onların İnternetdə qəbulunu sürətləndirmişlər. Məlumatların ötürülməsi üçün TCP/IP ailəsi, e-poçt üçün SMTP (Sadə Poçt Nəqliyyat Protokolu) və POP (Poçt İdarəsi Protokolu), şəbəkənin idarə edilməsi üçün SNMP (Sadə Şəbəkə İdarəetmə Protokolu) kimi protokollar IETF-in səylərinin birbaşa nəticəsidir. İstifadə olunan qoruyucu məhsulun növü şirkətin ehtiyaclarından asılıdır.

Təhlükəsiz məlumat ötürmə protokolları İnternetdə məşhurdur, yəni SSL, SET, IP v.6. Sadalanan protokollar qiymətli məlumatların qorunması ehtiyacı kimi nisbətən yaxınlarda internetdə peyda oldu və dərhal de-fakto standartlara çevrildi. Xatırladaq ki, İnternet bir neçə onilliklər əvvəl az dəyərli məlumatların elmi mübadiləsi üçün yaradılmışdır.

Təəssüf ki, Rusiya hələ də məxfi məlumatların ötürülməsi, emalı və saxlanması ilə əlaqəli fəaliyyət sahələrinə İnternetin tətbiqi imkanlarına çox ehtiyatla yanaşır. Bu cür ehtiyatlılıq təkcə İnternetin açıqlığından və əlçatanlığından qorxan yerli maliyyə strukturlarının mühafizəkarlığı ilə deyil, həm də qismən Qərb istehsalçılarının informasiya təhlükəsizliyi proqramlarının əksəriyyətinin kriptoqrafik məlumatlarla bağlı ixrac məhdudiyyətləri ilə bazarımıza daxil olması ilə izah olunur. onlarda həyata keçirilən alqoritmlər. Məsələn, Microsoft və Netscape Communications kimi istehsalçıların WWW serverlərinin və brauzer proqramlarının ixrac versiyalarında SSL protokolu tərəfindən istifadə edilən tək açarlı və iki açarlı şifrələmə alqoritmləri üçün açar uzunluğu məhdudiyyətləri vardır ki, bu da İnternetə baxarkən tam mühafizəni təmin etmir.

Bununla belə, e-ticarət proqramları daxili təhdidlərlə yanaşı, internetdən gələn xarici təhlükələrə də məruz qalır. Hər bir anonim ziyarətçiyə ayrıca giriş identifikatoru təyin etmək praktiki olmadığı üçün (tətbiq böyümədiyi üçün), şirkətlər fərqli bir autentifikasiya növündən istifadə etməlidirlər. Bundan əlavə, hücumları dəf etmək üçün serverləri hazırlamaq lazımdır. Nəhayət, kredit kartı nömrələri kimi kritik məlumatlara çox diqqət yetirilməlidir.

Məlumatların şifrələnməsi

Biznes saytı həssas məlumatları (məsələn, istehlakçı kredit kartı nömrələri) idarə edir. Bu cür məlumatların heç bir qorunma olmadan İnternet üzərindən ötürülməsi düzəlməz nəticələrə səbəb ola bilər. Hər kəs ötürülməni dinləyə və bununla da məxfi məlumatlara çıxış əldə edə bilər. Buna görə də, məlumatlar şifrələnməlidir və təhlükəsiz kanal vasitəsilə ötürülməlidir. Təhlükəsiz məlumat ötürülməsini həyata keçirmək üçün Secure Sockets Layer (SSL) protokolundan istifadə olunur.

Bu funksiyanı həyata keçirmək üçün siz rəqəmsal sertifikat almalı və onu server(lərinizə) quraşdırmalısınız. Rəqəmsal sertifikat üçün sertifikatlaşdırma orqanlarından biri ilə əlaqə saxlaya bilərsiniz. Tanınmış kommersiya sertifikatlaşdırma təşkilatlarına aşağıdakılar daxildir: VerySign, CyberTrust, GTE.

SSL HTTP (təhlükəsiz olduqda HTTPS adlanır), FTP və NNTP kimi protokollar üçün bir sxemdir. Məlumat ötürülməsi üçün SSL istifadə edərkən:

məlumat şifrələnir;

mənbə serveri ilə təyinat serveri arasında təhlükəsiz əlaqə quruldu;

server identifikasiyası aktivdir.

İstifadəçi SSL istifadə edərək kredit kartı nömrəsini təqdim etdikdə, məlumat dərhal şifrələnir ki, haker onun məzmununu görə bilməyəcək. SSL şəbəkə protokolundan müstəqildir.

Netscape-in ​​server proqramı, həmçinin istifadəçi şəxsiyyətini və mesajın bütövlüyünü təmin edən və mesajın marşrutunu dəyişməməsini təmin edən autentifikasiya - sertifikatlar və rəqəmsal imzaları təmin edir.

Autentifikasiya məlumat mübadiləsi və maliyyə əməliyyatlarında iştirak edən sənədlərin həqiqiliyini yoxlamaq üçün istifadəçinin şəxsiyyətinin və rəqəmsal imzasının təsdiqini nəzərdə tutur. Rəqəmsal imza saxtakarlığın qarşısını almaq üçün sənədə əlavə edilə bilən məlumatlardır.

Müdaxilənin aşkarlanması

Intrusion Detection Systems (IDS) hücumların nümunələrini və ya izlərini müəyyən edə, operatorları xəbərdar etmək üçün həyəcan siqnalları yarada və marşrutlaşdırıcıları qeyri-qanuni müdaxilə mənbələri ilə əlaqəni kəsməyə çağıra bilər. Bu sistemlər həmçinin xidmətdən imtinaya səbəb olmaq cəhdlərinin qarşısını ala bilər.

Sayt məlumatlarının qorunması

Sayt məlumatlarını qorumaq üçün saytın istifadə etdiyi məlumatları təhlil etməli və təhlükəsizlik siyasətini müəyyənləşdirməlisiniz. Bu məlumatlar verilənlər bazasında saxlanılan HTML kodu, müştəri və məhsul təfərrüatları, kataloqlar, parollar və digər autentifikasiya məlumatları ola bilər. Məlumat təhlükəsizliyi siyasətini təyin edərkən istifadə edilə bilən bəzi əsas prinsiplər bunlardır:

Həssas məlumatları daxili firewall arxasında, təhlükəsiz daxili şəbəkədə saxlamalısınız. Həssas məlumatlar üçün minimum sayda giriş nöqtəsi təmin edilməlidir. Eyni zamanda yadda saxlamaq lazımdır ki, təhlükəsizlik təbəqələrinin əlavə edilməsi və sistemə girişin çətinləşdirilməsi bütövlükdə sistemin işinə təsir göstərir.

Aşağı həssas məlumatları saxlayan verilənlər bazası DMZ serverlərində yerləşdirilə bilər.

Şifrələr birtərəfli alqoritmlərdən istifadə edərək çevrildikdən sonra saxlanıla bilər. Bununla belə, bu, "Şifrəmi unutdum, lütfən, onu mənə göndərin" kimi mesajları idarə etmək üçün ümumi qəbul edilmiş (və populyar) qabiliyyəti həyata keçirməyi qeyri-mümkün edir. e-poçt", baxmayaraq ki, siz yeni parol yarada və onu alternativ olaraq göndərə bilərsiniz.

Kredit kartı nömrələri kimi həssas məlumatlar şifrələmədən sonra da verilənlər bazalarında saxlanıla bilər. Yalnız səlahiyyətli istifadəçilər və proqramlar ehtiyac yarandıqda onun şifrəsini aça bilər. Lakin bu, bütövlükdə sistemin sürətinə də təsir edir.

Siz həmçinin orta səviyyəli komponentlərdən istifadə etməklə sayt məlumatlarını qoruya bilərsiniz. Bu komponentlər istifadəçilərin autentifikasiyası üçün proqramlaşdırıla bilər, yalnız səlahiyyətli istifadəçilərə verilənlər bazasına və onun komponentlərinə daxil olmaq imkanı verir və onları xarici təhlükələrdən qoruyur.

Sistemin server tərəfinin əlavə təhlükəsizlik xüsusiyyətlərini həyata keçirə bilərsiniz. Məsələn, verilənlər bazasına icazəsiz daxili girişin qarşısını almaq üçün SQL Server xüsusi təhlükəsizlik xüsusiyyətlərindən istifadə edə bilərsiniz.

Nəzərə alın ki, istehlakçı məlumatlarını ehtiva edən ehtiyat nüsxələrini qorumaq da eyni dərəcədə vacibdir.

Vəziyyəti hər həftə məlumatların sızmasının və ya zədələnməsinin getdikcə daha çox yeni yollarının aşkarlanması, yalnız informasiya təhlükəsizliyi üzrə ixtisaslaşmış peşəkar təşkilatların nəzarət edə bilməsi ilə daha da ağırlaşır.

Ticarətin İnternetə inteqrasiyası təhlükəsizlik vəziyyətində əsaslı dəyişiklik vəd edir. İnternetin artan kommersiyalaşması ilə şəbəkə üzərindən ötürülən məlumatların qorunmasına daha çox diqqət yetirilir. Buna görə də, informasiya təhlükəsizliyi sahəsində irəliləyiş əsasən elektron ticarət prosesinin inkişafını müəyyən edir.

Rusiyada elektron ticarətin inkişafı aşağıdakılarla məhdudlaşdırılır:

AK infrastrukturunun, xüsusən malların alıcıya çatdırılması (kuryer xidmətləri və s.), xüsusən də başqa şəhərdə yerləşən “elektron mağaza” vasitəsilə etibarlı və hər yerdə mövcud olan infrastrukturun olmaması və ya zəif inkişafı.

Dövlət hüquq-mühafizə təcrübəsinin geridə qalması və nəticədə elektron formada bağlanmış əməliyyatların icrası üçün təminatların olmaması və ya zəif olması.

İnternetdən ticarət üçün istifadə ilə bağlı fırıldaqçılığın inkişafı üçün obyektiv və subyektiv ilkin şərtlərin olması.

AK layihələrinin zəif marketinq tədqiqatı.

Malların qaytarılmasında çətinliklər, xüsusən də əhalinin kommersiya banklarına inamının olmaması.

Rusiya əhalisinin əksəriyyətinin aşağı gəlir səviyyəsi pulu zamandan daha qiymətli sərvət edir, buna görə də bir çox ruslar malların dəyəri ilə yanaşı çatdırılma xərclərini də ödəməyə razı deyillər və alış-verişə üstünlük verirlər. adi mağazalar. Buna görə də, AK yalnız ölkədə iqtisadi vəziyyətin əhəmiyyətli dərəcədə yaxşılaşmasından sonra Rusiyada geniş yayıla bilər.

Elektron ticarət sahəsində təhlükəsizlik

Giriş

İnternetin yaranması və inkişafı, informasiya texnologiyalarının, sistemlərinin və onların qarşılıqlı əlaqəsi standartlarının təkmilləşdirilməsi müasir biznesin yeni istiqamətinin - biznesin xüsusi forması kimi elektron biznesin yaradılmasına gətirib çıxardı. malların və xidmətlərin istehsalı, satışı və paylanmasında informasiya texnologiyalarının tətbiqi .

Elektron biznes ənənəvi olaraq mövcud olan biznesə informasiya və kommunikasiya texnologiyalarının tətbiqi ilə bağlı yeni, keyfiyyət dəyişikliklərinin nəticəsidir. Özündə e-biznes ideyası avtomatlaşdırma və kompüterləşdirmə ideyasının məntiqi inkişafıdır.

Elektron ticarət müəssisə səviyyəsində iki effekt yaradır: o, məhsulların istehsaldan tutmuş istehsala qədər olan yolunu əsaslı şəkildə yenidən təşkil edir. yekun istehlakçı və bütün bazar strukturunu dəyişir. O, həmçinin kiçik bizneslərə böyük və orta təşkilatlarla yüksək xərclər olmadan rəqabət aparmağa imkan verir.

İnformasiya-kommunikasiya texnologiyalarının inkişafı internetdə biznesin inkişafına gətirib çıxarıb və bununla da yeni istiqamətin - virtual və ya şəbəkə iqtisadiyyatının yaranmasına səbəb olub, elektron ticarət isə elektron biznesin həyata keçirilməsi yollarından birinə çevrilib. İnternet rabitəsi.

Bununla belə, e-ticarət sistemləri ənənəvi biznes sistemləri ilə müqayisədə təhlükəsizlik risklərinə daha çox həssasdır və bu, onların lazımi şəkildə qorunmasını təmin etməyi vacib edir.

Yüksək Təhlükəsizlik Risklərinin Səbəbləri

Elektron ticarət sistemləri paylanmış hesablama sisteminin tipik nümunəsidir. Onlarda bir neçə müştəri bir serverlə, daha az tez-tez bir neçə serverlə işləyir. Beləliklə, elektron mağaza açıq şəbəkələr üzərindən məlumat ötürməklə qarşılıqlı əlaqədə olan hər hansı bir paylanmış kompüter sisteminə xas olan bütün daxili və uzaq hücumlarla təhdid edilir.

Fəaliyyət texnologiyası tipik müəssisə onlayn mağaza əsasında fəaliyyət göstərən e-ticarət sahəsində aşağıdakı addımları əhatə edir:

1. Malların və qiymətlərin kataloqu (veb saytı) olan elektron vitrində məhsulun seçilməsi. Alıcı şəxsi məlumatlarını müvafiq formada daxil edir.

2. Buraxılmış malların sifarişin tamamlandığı onlayn mağazanın ticarət sisteminə köçürülməsi.

3. Malların çatdırılması və ödənilməsi. Malların alıcıya çatdırılması mümkün yollardan biri ilə həyata keçirilir:

– şəhərdaxili və onun ətrafında mağazanın kuryeri;

– ixtisaslaşmış kuryer xidməti (o cümlədən xaricdən);

- poçtla;

- öz-özünə çatdırılma;

- telekommunikasiya şəbəkələri vasitəsilə məlumat ötürülməsi kimi xüsusi məhsul.

4. Malların ödənişi aşağıdakı üsullarla həyata keçirilə bilər:

- malların qəbulundan əvvəl və ya anında;

- kuryerə nağd şəkildə və ya real mağazaya baş çəkərkən;

- poçt köçürməsi ilə;

- Bank əməliyyatı;

- çatdırılma zamanı nağd pul;

- kredit kartlarından istifadə etməklə (VISA, MASTER CARD və s.);

– ayrı-ayrı kommersiya bankları vasitəsilə elektron ödəniş sistemləri vasitəsilə (TELEBANK, ASSIST və s.).

Bu mərhələlərdə aşağıdakı mümkün saxtakarlıq variantları yaranır:

- ticarət müəssisələrinin məlumat bazasını sındırmaqla və ya alıcının şəxsi məlumatlarını ehtiva edən mesajları ələ keçirməklə müştəri haqqında məlumat əldə etmək;

- Qeyri-mövcud xidmətlər və ya mallar üçün müştərilərdən vəsait alındıqdan sonra yox olmaq məqsədilə, bir qayda olaraq, qısa müddətə yaranan kəpənək mağazaları;

- malın dəyərinin alıcıya təklif olunan qiymətə nisbətdə artması və ya müştərinin hesabından debetlərin təkrarlanması;

- kart detalları və alıcının digər şəxsi məlumatları haqqında məlumat toplamaq üçün nəzərdə tutulmuş mağazalar və ya satış agentləri.

– elektron mağazanın veb-server səhifəsinin dəyişdirilməsi. Əsas icra üsulu istifadəçi sorğularının başqa serverə yönləndirilməsidir. DNS serverlərinin cədvəllərində və ya marşrutlaşdırıcıların cədvəllərində qeydlərin dəyişdirilməsi ilə həyata keçirilir. Müştəri kredit kartı nömrəsini daxil etdikdə bu xüsusilə təhlükəlidir.

– elektron mağazanın işçiləri tərəfindən saxta sifarişlərin yaradılması və saxtakarlıq. Verilənlər bazasına daxil olmaq və sifarişlərin işlənməsi prosedurlarının dəyişdirilməsi verilənlər bazası ilə qeyri-qanuni manipulyasiyaya yol verir

– e-ticarət sistemində ötürülən məlumatların tutulması. Xüsusi təhlükə müştərinin kredit kartı haqqında məlumatların ələ keçirilməsidir.

– Şirkətin daxili şəbəkəsinə daxil olmaq və elektron mağazanın komponentlərini pozmaq.

– xidmətdən imtina hücumlarının həyata keçirilməsi və e-ticarət saytının fəaliyyətinin dayandırılması və ya söndürülməsi.

Mühafizə üsulları

İnternetdə təhlükəsiz ödənişləri təmin etmək üçün elektron ticarət iştirakçıları tərəfindən həyata keçirilən tədbirlər kifayət qədər müxtəlifdir. Əsas üsullar aşağıdakılardır:

1.Təlim sahibləri bank kartlarıöz təhlükəsizliyini təmin etmək üçün minimum bacarıqlar. Metod aşağıdakı tövsiyələri ehtiva edir: yalnız etibarlı İnternet resurslarından istifadə edin, malların çatdırılması və xidmətlərin göstərilməsi prosedurunu öyrənin, tacirin ötürülən məlumatların təhlükəsizliyinə zəmanət verən sertifikatlaşdırılmış protokollardan istifadə etdiyini yoxlayın.

2. Məlumatların şifrələnməsi. Bu gün İnternet bankçılıq xidmətləri göstərən bankların demək olar ki, hamısı SSL (Secure Socked Layer) - istifadəçinin kompüterindən bank sisteminə və əksinə ötürülən məlumatların şifrələnməsindən istifadə edir. İnternet ticarətində geniş şəkildə istifadə edilən və demək olar ki, məcburi hala gələn SSL protokolu ticarətin bütün iştirakçılarına geniş çeşidli məlumatları rahatlıqla ötürməyə imkan verir. Məlumatları ələ keçirməyə cəhd etsəniz, onlar heç bir adekvat müddət ərzində sındırıla bilməyən şifrə ilə bağlanacaqlar.
SSL protokolu İnternet üzərindən ötürülən məlumatları etibarlı şəkildə qoruyur, lakin yenə də kredit kartı nömrələri kimi satıcının serverində saxlanılan şəxsi məlumatları qoruya bilmir. Satıcı kredit kartı məlumatını satınalma sorğusu ilə birlikdə qəbul etdikdə, məlumat şifrələnir və sorğu tamamlanana qədər serverdə saxlanılır. Əgər server təhlükəsiz deyilsə və verilənlər şifrlənməyibsə, o zaman şəxsi məlumatlara icazəsiz daxil olmaq və ondan sonradan saxta məqsədlər üçün istifadə etmək mümkündür.

3. ATM-dən alınan birdəfəlik parollar. Belə bir təhlükəsizlik sistemi ilə adi login və paroldan əlavə, sistemə daxil olmaq və əməliyyatları təsdiqləmək üçün istifadəçi birdəfəlik parol daxil etməlidir, onun siyahısını bankın bankomatında ala bilər. Təhlükəsizlik nöqteyi-nəzərindən belə bir sistemin bir üstünlüyü var - İnternet bankçılıq vasitəsilə kart hesabında əməliyyatlar aparmaq üçün şəxs ən azı kartın özündə olmalı, həmçinin siyahı əldə etmək üçün PİN kodu bilməlidir. ATM-də parollar.

4. Birdəfəlik SMS parolları onlayn bankçılıq vasitəsilə həyata keçirilən hər bir əməliyyatın istifadəçinin SMS mesajında ​​aldığı birdəfəlik parol ilə təsdiq edilməli olduğu sistemdir. mobil telefon. Bu halda mobil nömrə hesab nömrəsinə “bağlanmalıdır”.
Bu sistemin aşağıdakı üstünlükləri var:

– istifadə rahatlığı - xüsusi avadanlıqlara ehtiyac yoxdur və əməliyyatın təsdiqlənməsi proseduru cəmi bir neçə dəqiqə çəkir.

– hesabın qorunması - sistemə daxil olmaq üçün loqin və parol fırıldaqçılara məlum olsa belə, onlar pula giriş əldə etməyəcək və istifadəçi icazəsiz əməliyyat həyata keçirmək cəhdi barədə SMS mesajından məlumat alacaq.

Nəticə

İnformasiya təhlükəsizliyinin etibarlılığının təmin edilməsi problemini yalnız texniki vasitələrin və proqram təminatının köməyi ilə həll etmək mümkün deyil. Ekspertlərin fikrincə, korporativ informasiya sistemlərinin mühafizəsi bir sıra amillərdən asılıdır: 30% - tətbiq olunan texniki həllərdən; 40% - müəssisədə həyata keçirilən təşkilati tədbirlərdən və 30% - cəmiyyətin mənəvi vəziyyətindən və istifadəçinin ümumi mədəni səviyyəsindən.
Hazırda hər bir təşkilat peşəkar mühafizə vasitələrindən istifadə etməklə onlayn ticarət əməliyyatlarının təhlükəsizliyinin təmin edilməsi məsələlərini fərdi qaydada həll edir. Bununla belə, e-ticarət sahəsində müvafiq qaydaların olmaması səbəbindən əhəmiyyətli bir müştəri kütləsinin etimadını qazanması üçün çox vaxt və səy tələb olunacaq.