Главная Случайная страница


Полезное:

Как сделать разговор полезным и приятным Как сделать объемную звезду своими руками Как сделать то, что делать не хочется? Как сделать погремушку Как сделать так чтобы женщины сами знакомились с вами Как сделать идею коммерческой Как сделать хорошую растяжку ног? Как сделать наш разум здоровым? Как сделать, чтобы люди обманывали меньше Вопрос 4. Как сделать так, чтобы вас уважали и ценили? Как сделать лучше себе и другим людям Как сделать свидание интересным?


Категории:

АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника






Політики вирішення проблем безпеки в електронній комерції





Інформаційна безпека у її класичному трактуванні розуміє збереження цілісності інформації, попередження викраданню інформації (збереження таємності інформації), забезпечення доступу до інформації у будь-який час, коли вона потрібна (надання доступності до інформації).

У цій праці обговорюються підприємства електронної комерції (ПЕК), що працюють за моделлю електронної комерції В2С, тобто бізнес (торгівля товарами чи надання послуг) між підприємством та кінцевим покупцем (споживачем послуг) за допомогою інформаційних технологій, засобів телекомунікації, глобальної мережі Інтернет і спеціалізованих сайтів - електронних магазинів. У проекції вказаних умов безпеки інформації на інформаційні системи ПЕК загрози їхньому функціонуванню можуть бути наступні:

- загроза реалізації усіх трьох форм порушення безпеки інформації під час її передання по каналам зв’язку глобальної мережі Інтернет;

- загроза реалізації усіх трьох форм порушення безпеки інформації під час її збереження на сайті електронного магазину;

- загроза доступності інформації під час роботи сайту електронного магазину в Інтернет для відвідувачів (потенційних покупців / споживачів).

При першому відвідуванні магазину бажано, щоб кожний відвідувач або покупець був зареєстрований, хоча сучасна процедура реєстрації мінімальна для покупців – лише ім'я і пароль та необхідні для зв’язування з покупцем відомості (e-mail, телефон), інше по бажанню. А для відвідувачів і зовсім магазин не має права нав’язувати реєстрацію, вона може бути здійснена ними за власним бажанням, якщо магазин цінує взаємовідносин з потенційними клієнтами і запропонує щось акційне чи інформаційне, що вмовить відвідувача реєструватися. Ще не обізнані у сфері електронної комерції користувачі звичайно із недовірою відносяться до процедур передання особистої конфіденційної інформації каналами Інтернет, тому власники електронних магазинів повинні передбачати їхнє бажання та забезпечити максимальну безпеку користування їх сервісом.

Ввійшовши до віртуального магазину, покупець може вибрати товар, що його цікавить, після цього послати по електронній пошті замовлення в магазин і отримати підтвердження про прийняття замовлення. Після зняття грошей за угодою з покупцем з його кредитної картки товар доставляється на означену покупцем адресу.

Основними загрозами втрати інформації для віртуального магазину є порушення таємності даних кредитних карток покупців і цілісності інформації про замовлення.

Для підприємств електронної комерції явища переходу до інформаційної економіки, і супутнього розвитку відповідних служб – кур'єрських, банківських систем, а також законодавчої бази, зумовили ще більш швидку, ніж для звичайних підприємств, зміну факторів зовнішнього середовища.

Для забезпечення ефективного функціонування в умовах нестабільного зовнішнього середовища, яке характеризується високим рівнем невизначеності, підприємство електронної комерції акцентує головну увагу на підтримці нормального ритму поставок збуту товарів, на запобіганні матеріального чи/або фінансового збитку, на недопущенні несанкціонованого доступу до інформаційної системи і руйнування комп'ютерних баз даних, на протидії недобросовісній конкуренції і кримінальним проявам.

Наочно, що порушення умов безпеки інформації перешкодить вдалому функціонуванню ПЕК, занизить його економічну стійкість та рейтинг серед інших подібних ПЕК за категорією, лишить постійних і потенційних клієнтів, та безумовно вплине на ефективність функціонування цього ПЕК в цілому.

Тому, як і в будь-якій ІС, в ІС ПЕК передбачені шляхи відвернення загроз за їх видами.

Щоб зрозуміти механізм відвернення, треба зрозуміти механізм можливої реалізації загроз.

Розвиток електронної комерції в Інтернет з'явився позитивним фактором інформатизації нашого суспільства і в той же час визначив можливість розповсюдження і в Україні такого виду кіберзлочинів, як DoS (або DDoS) атак. Атаки в Інтернет – це вид загроз, що не потрапляє під визначення вірусу в традиційному його розумінні. Також він не вписується в схему якого-небудь шахрайства в мережі. Проте, від атак так званих «крекерів», або, в широкому, початковому значенні слова, «хакерів», щорічно втрачають мільйони доларів безліч електронних підприємств в мережі. При цьому мимовільним учасником цих атак може стати будь-який користувач Інтернет, навіть не підозрюючи про це, ні до, ні після здійснення атаки.

Для здійснення атаки використовується ряд обмежень, властивих протоколу передачі даних в мережі Інтернет - TCP/IP. В ранніх версіях протоколу IP були відсутні вимоги безпеки, які з'явилися тільки через декілька років. Але тільки у зв'язку з бурхливим розвитком в світі електронної комерції проблема стала актуальною, і в мережі в стислі строки сталі упроваджувати стандарти безпеки, проте дотепер немає універсального захисту від атак.

В даний час в світі існує більше 12 типів атак, мета яких вивести з ладу поштові сервери підприємства, викрасти інформацію, підмінити користувача сайту, викликати умови, при яких обслуговування клієнтів сайту неможливе, або ініціювати інші подібні не передбачені (позаштатні) ситуації роботи сайту. Один з них - DoS і DDoS-атака.

DoS-атака і DDoS-атака - це різновиди атак на обчислювальну систему. Англійська абревіатура DoS розшифровується як «Denial Service» — «відмова в обслуговуванні». DDoS – «Distributed Denial Service», «розподілена відмова в обслуговуванні», або «розподілена DoS» - підтип DoS атаки [21].

Мета цих атак - створення таких умов роботи сайту, при яких легітимні (правомірні) користувачі системи не можуть отримати доступ до ресурсів, що надаються системою, або цей доступ утруднений.

Окрім безпосереднього результату (відмова системи в обслуговуванні), такий вид атаки, хоча і не має на увазі отримання деякої секретної інформації, але іноді буває основою для ініціалізації інших атак.

DDoS має ту ж мету що і DoS, але проводиться не з одного комп'ютера, а з декількох комп'ютерів в мережі. DDoS використовується там, де звичайний DoS неефективний.

В деяких випадках до DDoS-атаки приводить легітимна дія, наприклад, необдумана постановка посилання на сайт (розміщений на не дуже продуктивному сервері) на популярному Інтернет - ресурсі (слешдот-ефект). Великий наплив користувачів приводить до перевищення допустимого навантаження на сервер і відмови в обслуговуванні частини із них.

DoS-атаки – це великий кримінальний бізнес, який зв'язаний із здирством. DoS-атаки активно використовуються зловмисниками для надання тиску на ресурс. Наприклад, відомі атаки на Інтернет - казино і букмекерські он-лайн - компанії. Оскільки вся діяльність такого казино відбувається через Інтернет і щодня простою приносить серйозні збитки, зловмисники загрожують власникам DoS-атакою і вимагають виплатити деяку суму. У разі відмови такі атаки дійсно проводилися. Відомі випадки DoS-атак на сайти прямих конкурентів.

DoS-атака може бути організована і для надання психологічного або ідеологічного тиску, щоб примусити сайт змінити свій контент, який небажаний для організатора атаки. Наприклад, в лютому і березні 2007 року в Росії були атаковані сайти опозиційних організацій, що збирали "Марши несогласных"». В перших числах травня того ж року були атаковані сайти радіостанції «Эхо Москвы» і газети «Коммерсант». У всіх випадках використовувався метод DoS-атаки, що дозволило робити висновки у пресі про регулярну практику атак із політичним забарвленням [21].

Провести DoS-атаку на сайт коштує не дорого із залученням аматорів з хакерського сайту - форуму. Наприклад, ресурс Хакер.ru наводить такі розцінки: «Ваше бажання заDDoSить сайт збудеться приблизно за 80–250 баксів за добу, залежно від популярності ресурсу». Проте Newscientist наводить більші цифри: атака з використанням великої мережі коштує від 500 до 1500 доларів. Атака із залученням значних ресурсів може коштувати дорожче. Відповідно рівню атаки коштуватиме і її виявлення чи/або віддзеркалення, а також, що важливе – виявлення замовника.

Сьогодні кожного тижня в Україні принаймні один суспільно-політичний Інтернет - ресурс заявляє про DoS-атаку, яку він пережив. Закономірно як «мішені» вибирають Інтернет - магазини, Інтернет - аукціони, Інтернет - казино, великі інформаційні ресурси – проекти, для яких розрив контакту з користувачами загрожує швидкими і великими збитками. Так, напередодні 8 березня, більшість українських сайтів, торгуючих квітами, була недоступна, або, кажучи мовою Інтернет - сленгу, «лежали» [21].

Проблему DDoS різні сайти вирішують по-різному. Одні «відбиваються» своїми зусиллями, інші – залучають провайдерів, треті – «лягають» і чекають, «коли ж це все закінчиться». Але всіх об'єднує одне бажання: знайти зловмисника, а також - не допустити DDoS наступного разу. І навіть якщо перше бажання згодом втрачає актуальність, то задача «як захиститися від атаки» - перманентна.

На Заході власники електронних підприємств давно ухвалили рішення вкладати кошти в анти-DoS захист. Фактично – це страховка від можливих наслідків. Першим яскравим прикладом, що викликав розуміння такої необхідності, стала серія DoS-атак, що завдали в лютому 2000 року серйозного збитку деяким великим електронним магазинам на Заході. Після цього був ініційований новий альянс між компаніями електронного бізнесу, створений Amazon.com, eBay, Charles Schwab & Co. і Yahoo! для протистояння атакам.

Сьогодні оборот Уанет (українського сектора Інтернет) оцінюється в $10-20 млн. на рік, тобто, якщо ринок безпеки може претендувати на 1-2% від обороту, то це складе $100-200 тис. в рік – недостатньо для побудови компанії, що спеціалізується на захисті. В той же час в Рунет (Росія) обороти ринку оцінюють в $1 млрд., і 1-2% - це вже $10-20 млн.

На даний момент у зв'язку з невеликим оборотом Україна менш захищена від DoS- атак, ніж інші країни. В Україні по справжньому прибуткових Інтернет - проектів (більше $300 тис.) небагато. І лише коли таких проектів стане 500 або 5000 - з'явиться ринок підприємств, що спеціалізуються на захисті від мережних атак. В світі і у тому числі в Росії такі компанії існують. Але проблема в тому, що в Україні поки немає платоспроможного попиту. Більшість атак, з якими Уанет поки стикається, направлена на сайти, що оплачують віртуальний хостинг за $8-10 в місяць. І навіть мінімальні щомісячні витрати на захист від DoS-атак нести не готові. Проте, за прогнозами, експоненціальне зростання ринку електронної комерції і неминуче посилення атак на українські сайти через 3-5 років приведуть до появи в Україні платоспроможних підприємств і до утворення ринку безпеки в Інтернеті [21].

Зростання оборотів електронної комерції і атаки на електронні підприємства різних бізнес-моделей поступово вимушують сектор Уанет вкладати кошти в захист. Поки що великі електронні підприємства України вимушені для захисту користуватися послугами зарубіжних компаній, але в найближчому майбутньому, із збільшенням числа таких підприємств, в Україні з'являться власні компанії, що здійснюють захист від DoS і інших видів атак.

Для успішної роботи ПЕК обов'язковою умовою є прийняття правильної політики безпеки його функціонування. Політика безпеки забезпечує захист цінної інформації і дотримання правил доступу до неї.

Date: 2016-01-20; view: 375; Нарушение авторских прав; Помощь в написании работы --> СЮДА...



mydocx.ru - 2015-2024 year. (0.006 sec.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав - Пожаловаться на публикацию