Основы электронной коммерции. 8
1. Привести характеристики
Определение понятий безопасность, угроза, защита.
Безопасность - состояние защищенности от возможного нанесения ущерба, способность к сдерживанию или парированию опасных воздействий, а также к быстрой компенсации нанесенного ущерба. Безопасность означает сохранение системой стабильности, устойчивости и возможности саморазвития. Одной из популярнейших тем для обсуждения является безопасность электронной коммерции. Но до сих пор, несмотря на все ценные мнения и высказывания, не существует практичного, "земного" пособия к тому, что же все-таки является предметом безопасности электронной коммерции. В этой статье приводятся некоторые точки зрения на этот вопрос, и делается попытка отделить мифы от реальной действительности. Давайте попробуем ответить на некоторые базовые вопросы, очевидные для специалистов.
Системы можно сделать защищенными. Системы могут быть защищены только от известных угроз, с уменьшением количества связанных с ними рисков до приемлемого уровня. Только вы сами можете определить правильный баланс между желаемым уровнем снижения рисков и стоимостью решения. Безопасность вообще представляет собой один из аспектов риск-менеджмента. А информационная безопасность является совокупностью здравого смысла, риск-менеджмента бизнеса и базовых технических навыков под управлением достойного менеджмента, разумного использования специализированных продуктов, возможностей и экспертиз и правильных технологий разработки. При этом web-cайт - это всего лишь средство доставки информации потребителю.
Безопасность сайтов - это исключительно технический вопрос. Слишком часто безопасность в большей степени относится к области соответствующего контроля процесса разработки, правильного управления конфигурацией операционной системы и в целом последовательного управления сайтом. Настоящая безопасность находится под вашим прямым контролем - то, что приемлемо при разработке внутренних систем, может оказаться неподходящим для сервисов, к которым предоставляется полный общий доступ. Неполадки в системах, затрагивающие внутри предприятия только нескольких доверенных сотрудников, становятся очевидными при перемещении в среды общего доступа.
СМИ регулярно сообщают обо всех слабых местах и рисках в области безопасности. Часто СМИ сообщают только о тех неполадках, которые могут привлечь всеобщее внимание и не требуют специальных навыков для понимания заложенной в них проблемы. Такие сообщения редко отражают реальные угрозы бизнесу с точки зрения безопасности и часто вообще не связаны с безопасностью.
Информация по кредитным карточкам в Интернет не защищена. На самом деле, информация по кредитным карточкам гораздо меньше подвержена хищениям при передаче по Интернет, чем в близлежащем магазине или ресторане. В несанкционированном использовании такой информации может быть заинтересован недобросовестный бизнес, а как вы с ним работаете - через Интернет или нет - уже не столь важно. Повысить же безопасность собственно передаваемой информации можно с помощью использования защищенных каналов передачи и надежных сайтов. Существенной составляющей множества систем электронной коммерции является потребность в надежной идентификации потребителей. Способ идентификации непосредственно влияет не только на степень риска, но даже на вид уголовного преследования.
Пароли идентифицируют людей. Пароли обеспечивают только базовую проверку - что подключается некто авторизованный для использования конкретной системы. Люди склонны не слишком скрывать свои пароли от других - особенно от близких родственников и коллег. Более сложная технологий аутентификации может оказаться гораздо рентабельнее. Используемый уровень аутентификации должен отражать риск доступа к информации случайных лиц, независимо от согласия на это ее действительного владельца.
Однажды сконфигурированное и установленное решение по безопасности остается надежным с течением времени. Предприятия не всегда устанавливают системы как полагается, бизнес меняется, как и угрозы. Необходимо убедиться, что системы ведут профайлы безопасности, и что ваш профайл постоянно переоценивается с точки зрения развития бизнеса и внешней среды. Не менее важна и технология, однако она должна рассматриваться как составная часть более широкого спектра средств для контроля безопасности. Обычно в качестве решения для защиты содержимого электронно-коммерческих сайтов называют брандмауэры, однако даже они имеют свои слабые места.
Брандмауэры непроницаемы.
Реализовав брандмауэр, можно почивать
на лаврах в уверенности, что злоумышленники
никогда не проникнут через него. Проблема
в том, что их необходимо конфигурировать
так, чтобы через них все же шел некий трафик,
причем в обоих направлениях. Необходимо
тщательно обдумать, что вы пытаетесь
защитить. Предотвращение атаки на главную
страницу вашего сайта существенно отличается
от предотвращения использования вашего
web-сервера в качестве пути к вашим серверным
системам, и требования к брандмауэру
в обоих случая сильно отличаются. Многие
системы нуждаются в сложной многослойной
защите для обеспечения доступа к более
чувствительным данным только авторизованных
пользователей. Ключевую роль на любом
электронно-коммерческом сайте играет,
как правило, электронная почта. Тем не
менее, она привносит с собой ряд проблем
в области безопасности, игнорировать
которые недопустимо.Эти проблемы распадаются
на две основные категории:
Защита содержимого электронной почты
- оно может быть искажено или прочитано.
Защита вашей системы
от атак через входящую электронную почту.
Если предполагается работа с конфиденциальной
или чувствительной к целостности почтовой
информацией, существует масса продуктов
для ее защиты.
Вирусы больше не являются проблемой. Вирусы до сих пор представляют серьезную опасность. Последнее увлечение создателей вирусов - вложенные в письма файлы, при открытии выполняющие макрос, производящий несанкционированные получателем действия. Но разрабатываются и другие средства распространения вирусов - например, через HTML web-страниц. Необходимо убедиться, что ваши антивирусные продукты сохраняют актуальность. Если они были предназначены для поиска вирусов, может оказаться, что они способны только выявлять вирусы, но не устранять их.
Компания, имеющая сертификат на открытый ключ от уважаемого Certification Authority (CA), сама по себе уже заслуживает доверия. Сертификат просто подразумевает нечто вроде: "На момент запроса сертификата, я, CA, произвел известные действия для проверки идентичности этой компании. Вас это может удовлетворить, а может и нет. Я не знаком с этой компанией и не знаю, можно ли ей доверять, и даже - в чем именно состоит ее бизнес. До тех пор, пока меня не известят, что открытый ключ дискредитирован, я даже не узнаю, что он, например, украден или передан кому-то еще, и это ваше дело - проверять, не аннулирован ли он. Моя ответственность ограничивается положениями документа, описывающего политику моей компании (Policy Statement), которое вам следует прочитать прежде, чем использовать ключи, связанные с данной компанией".
Цифровые подписи являются электронным эквивалентом рукописных.
Некоторое сходство имеется, однако есть
множество очень существенных различий,
поэтому неразумно считать эти два вида
подписи равноценными. Их надежность также
зависит от того, насколько строго установлено,
чтобы закрытый ключ находился действительно
в индивидуальном пользовании. Ключевые
различия заключаются также в том, что:
- Рукописные подписи находятся полностью
под контролем подписывающего лица, цифровые
же создаются с использованием компьютера
и программного обеспечения, которые могут
работать, а могут и не работать так, чтобы
выполняемым ими действиям можно было
доверять.
- Рукописные подписи, в отличие от цифровых, имеют оригинал, который можно копировать.
- Рукописные подписи
не слишком тесно связаны с тем, что ими подписывается, содержание
подписанных бумаг может быть изменено
после подписания. Цифровые подписи сложным
образом связаны с конкретным содержимым
данных, которые ими подписаны.
- Способность выполнять рукописную подпись
не может быть предметом хищения, в отличие
от закрытого ключа.
- Рукописные подписи
могут копироваться с разной
долей сходства, а копии цифровых
подписей могут создаваться
- Некоторые протоколы
аутентификации требуют
Продукты в области безопасности можно оценивать согласно их функциональности, как и бизнес-пакеты. Они требуют также оценки безопасности их реализации и тех угроз, от которых они не могут защитить (которые могут быть и не задокументированы). В целом бизнес-приложения выбираются исходя из их функциональных возможностей и простоты использования. Часто считается само собой разумеющимся, что функции выполняются как полагается (например, пакет для исчисления налогообложения верно рассчитывает налоги). Но это несправедливо в отношении продуктов, обеспечивающих безопасность. Самым большим вопросом здесь становится то, как реализованы в них функции защиты. Например, пакет может предлагать мощную парольную аутентификацию пользователей, но при этом хранить пароли в простом текстовом файле, который может прочитать практически кто угодно. И это было бы совсем не очевидно и могло бы создать ложное чувство защищенности.
Продукты в области
безопасности легко устанавливаются.
Большинство продуктов
PKI-продукты защищают электронную коммерцию без дополнительной настройки. PKI-продукты представляют собой базовый инструментарий, помогающий реализовывать решения в области безопасности, однако только как часть всего пакета, включающего также юридические, процедурные, а также прочие технические элементы. На практике это часто гораздо сложнее и дороже, чем установка базовой PKI.
Консультанты по безопасности
заслуживают абсолютного
Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Однако такого рода термины могут иметь много трактовок. Возможен и иной подход к определению угрозы безопасности информации, базирующийся на понятии «угроза». В соответствии с ожеговским «Словарем русского языка», «угроза» — это намерение нанести физический, материальный или иной вред общественным или личным интересам, возможная опасность. Иначе говоря, понятие угроза жестко связано с юридической категорией «ущерб», которую Гражданский Кодекс определяет как «фактические расходы, понесенные субъектом в результате нарушения его прав (например, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества, а также расходы, которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества» (ГК РФ, часть I, ст. 15). Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рис. 1.
В ходе анализа необходимо убедиться, что все возможные источники угроз и уязвимости идентифицированы и сопоставлены друг с другом, а всем идентифицированным источникам угроз и уязвимостям сопоставлены методы реализации. При этом важно иметь возможность, при необходимости, не меняя самого методического инструментария, вводить новые виды источников угроз, методов реализации, уязвимостей, которые станут известны в результате развития знаний в этой области.
Сам подход к анализу
и оценке состояния безопасности
информации основывается на вычислении
весовых коэффициентов
Исходными данными для проведения оценки и анализа служат результаты анкетирования субъектов отношений, направленные на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых автоматизированной системой и условий расположения и эксплуатации объекта.
Благодаря такому подходу возможно:
- установить приоритеты целей безопасности для субъекта отношений;
- определить перечень актуальных источников угроз;
- определить перечень актуальных уязвимостей;
- оценить взаимосвязь угроз, источников угроз и уязвимостей;
- определить перечень возможных атак на объект;
- описать возможные последствия реализации угроз.
Результаты проведения оценки и анализа могут быть использованы при выборе адекватных оптимальных методов парирования угрозам, а также при аудите реального состояния информационной безопасности объекта для целей его страхования.
При определении актуальных
угроз, экспертно-аналитическим
На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент опасности этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее.
Предложенная классификация
может служить основой для
выработки методики оценки актуальности
той или иной угрозы, а уже по
выявлению наиболее актуальных угроз
могут приниматься меры по выбору
методов и средств
Комплексная система обеспечения безопасности.
Так же, как и человека,
информацию надо охранять и защищать,
причем на всех этапах ее жизненного цикла.
Для этого специалисту по безопасности
предприятия или консультанту (менеджеру)
в фирмах, занимающихся защитой информации, необходимо обладать
обширными знаниями каналов утечки информации
и способах их ликвидации, законодательной
базы государства и быть технически "подкованным"
человеком.
Рассмотрим основные каналы утечки информации
относительно ее жизненного цикла. После
"рождения" информации, а в настоящее
время информация "рождается" в электронном
виде, ее необходимо где-то хранить. Как
правило, информация создается не для
частного использования, а для передачи
другому лицу/лицам, то есть она передается
или по электронным каналам, или физически
на каком либо носителе. Затем, при получении
информации, она обрабатывается и/или
передается дальше/обратно, или хранится.
Если информация "рождена" с какой
либо конкретной целью, то после ее выполнения
она уничтожается (стирается). В противном
случае информация остается в хранилище
на определенный срок.
Даже на непрофессиональный
взгляд в этой цепочке присутствуют
уязвимые звенья, которые при неблагоприятных
обстоятельствах могут
Не имея электронного ключа и/или
не зная пароля, подключить секретный
диск невозможно - для посторонних он останется
просто зашифрованным файлом с произвольным
именем (например, game.exe или girl.tif).
Как любой физический диск, защищенный
диск может быть предоставлен для совместного
использования в локальной сети. После
отключения диска все записанные на нем
файлы и программы сделаются недоступными.
Основные принципы обеспечения
безопасности электронной коммерции
- Защита конфиденциальных данных с помощью профессиональных алгоритмов шифрования;
- Генерация ключей шифрования самим пользователем;
- Аппаратная аутентификация с использованием электронных USB-ключей, смарткарт или PCMCIA-карт;
- Работа с зашифрованными архивами. Информацию можно сжать и зашифровать как для себя так и для защищенного обмена с коллегами;
- Блокировка компьютера. Secret Disk позволяет гасить экран и блокировать клавиатуру при отключении электронного идентификатора, при нажатии заданной комбинации клавиш или длительной неактивности пользователя. При блокировании системы секретные диски не отключаются, запущенные приложения, использующие защищенные данные, продолжают нормально работать;
- Режим работы под принуждением. В критической ситуации можно ввести специальный аварийный пароль. При этом система на некоторое время подключит диск, уничтожив личный ключ шифрования в электронном ключе (что сделает невозможным доступ к диску в будущем), а затем сымитирует одну из известных ошибок Windows - все знают, насколько она ненадежна! Возможность восстановления данных при утере (или намеренной порче) электронного идентификатора или утрате пароля.
2. Дать развернутую
Интернет-торговля – часть электронной коммерции, причем очень бурно развивающаяся. Под этим понятием подразумевается коммерческая деятельность в сети, когда процесс покупки/продажи товаров и услуг (весь цикл коммерческой/финансовой транзакции или её часть) осуществляется электронным образом с применением Интернет-технологий. Торговые операции через Интернет могут осуществлять многие организации и производители товаров/услуг, и дистрибьюторы, и розничные торговые компании.
Известны три типа систем Интернет-торговли.
1. web-витрина – оформленный web-дизайнерскими средствами прайс-лист торговой компании с возможностью приема заказов. Данный тип системы наилучшим образом подходит для предприятий малого и среднего бизнеса. Web-витрины не имеют интерактивных интерфейсов управления и не связаны напрямую с бизнес-приложениями компании. Обмен данными с web-витриной проводится менеджерами вручную, посредством передачи файлов.
2. Интернет-магазин – полнофункциональная система ведения Интернет-торговли с индивидуальными бизнес-схемами взаимодействия с потребителями. Интернет-магазин содержит, кроме web-витрины, всю необходимую бизнес-логику для управления процессом Интернет-торговли (бэк-офис). Гибкость настроек бэк-офисов Интернет-магазинов и возможность быстрой разработки индивидуального web-дизайна позволяют использовать Интернет-магазин для организации торговли широким спектром товаров и услуг компаниям среднего и крупного бизнеса.
3. Торговая Интернет-система
(ТИС) – сложная и мощная
система ведения торговых
Из перечисленных трех типов систем Интернет-торговли в России практически нет ТИС, очень мало Интернет-магазинов, зато огромное количество web-витрин.
Организация торговли в российском Интернете практически не отличается от общемировой. При всем многообразии форм присутствия и работы в Сети можно указать следующие основные подходы. Наиболее простой и экономически выгодный путь выбрали оффлайновые торговые компании, которые используют свои web-витрины как дополнительный канал продвижения товаров на рынок. В качестве примера можно привести магазины «Библио-Глобус» или ХХL.RU. Их конкурентные преимущества: отлаженная система логистики и раскрученный брэнд, но ассортимент определяется складом реального магазина и возможностями его поставщиков.
Другой подход
избрали создатели Интернет-
Поэтому логично
их развитие в направлении
Интернет-супермаркетов. Плюсы
Сегодня самая простая и прибыльная форма ведения бизнеса в Интернете – организация торговых площадок, этаких «Лужников» на экране (проекты Торг. Ру или торговые ряды «Традиция»). Такого рода деятельностью занимаются провайдеры электронной коммерции, получающие доход от аренды витрин, web-хостинга и т.п. Весьма охотно торговые ряды создают компании-интеграторы, операторы связи, Интернет- и контент-провайдеры – им это позволяет расширять клиентскую базу.
Сейчас, когда в России наметилась тенденция замедления темпов роста числа пользователей Интернета, проблема расширения клиентской базы становится актуальной практически для всех операторов и провайдеров. Предложение услуг электронной коммерции позволит им решать эту проблему на качественно ином уровне.
Чтобы объективно оценить ситуацию, сложившуюся на российском рынке виртуальной коммерции, следует разобраться, кто, что и где покупает сегодня через Интернет, а также выяснить, какие пути наиболее эффективно приводят отечественных покупателей к многочисленным web-прилавкам. Для этой цели воспользуемся результатами аналитического исследования, недавно проведенного компанией «SpyLog» – одним из крупнейших экспертов в области «е-commerce» в России.
Аудитория
Ежедневно онлайновые магазины привлекают около 80 тыс. посетителей, что сопоставимо с суммарной посещаемостью таких секторов Рунета, как компьютерные игры, провайдеры или музыкальные архивы. Очевидным лидером по посещаемости является сектор торговли культтоварами – 40% хитов в онлайн – торговле приходится на магазины, торгующие книгами, аудио- и видеоносителями. Совокупное ядро сайтов электронной коммерции составляет 102 тыс. человек. В тоже время суммарное ядро (арифметическая сумма ядер) составляет 137 тыс. человек, таким образом, не менее 20% всей аудитории входит одновременно в ядро двух или более электронных магазинов (показатель «плотность рынка»).
Всего же виртуальные магазины привлекают к себе внимание почти полумиллиона посетителей в месяц (monthly reach), что составляет не менее 3,5% всей месячной аудитории Рунета. Недельная аудитория ресурсов составляет чуть менее 300 тыс. человек, или 3,5% всей недельной аудитории Рунета (таблица № 1).
Таблица №1- Суммарная посещаемость
магазинов электронной коммерци
Аудитория |
Тыс. чел. |
% от всего Рунета |
Суммарное ядро аудитории |
137 |
- |
Совокупное ядро аудитории |
102 |
1,8 |
Недельная активная аудитория |
33 |
- |
Уникальных посетителей за 30 дней |
484 |
3,66 |
Уникальных посетителей за 7 дней |
293 |
3,50 |
Посетителей в день, среднее за 1 5 дней |
78 |
2,81 |
Сессий в день, среднее за 1 5 дней |
85 |
2,33 |
Хитов в день, среднее за 1 5 дней |
341 |
2,13 |
Плотность рынка |
34,41 |
- |
Из всех товарных групп наибольшей посещаемостью обладает группа «культтовары», включающая книги, музыку и видео, на эту категорию приходится треть всей ежедневной посещаемости группы (по сессиям). Еще чуть меньше 38% посещаемости приходится в сумме на компьютерные магазины и магазины, предлагающие портативную технику (включая мобильные телефоны). При этом четыре исследованные категории собирают в общей сложности чуть меньше 80% средней ежедневной посещаемости всей исследуемой группы Интернет-магазинов (таблица №2).
Весьма любопытной является динамика посещаемости группы магазинов подарков и сувениров. Планомерный спад посещаемости перед Новым годом (большинство магазинов не справлялись с потоком заказов и не могли обеспечить своевременную доставку) сменяется глубоким провалом до конца января. Затем следует мощный подъем посещаемости в полтора раза перед Днем святого Валентина (этот подъем также был спровоцирован открытием нового магазина «allgifts.ru»), новый подъем (еще на 50 тыс. посетителей) – перед 8 Марта, после чего следует глубокий спад практически до посленовогоднего уровня (см. рисунок). Еще ярче эта картина видна на графике посещаемости по хитам, где отчетливо виден пятикратный рост с Нового года по 8-е Марта, а затем резкое падение на 60-70%.
Таблица № 2 – Распределение посещаемости
Интернет-магазинов в
Товарная группа |
Ядро аудитории, тыс. чел. |
Сессий в день, тыс. |
Хитов в день, тыс. |
Доля по сессиям, % |
Книги, музыка, видео |
44,7 |
25,7 |
135,6 |
33,55 |
Книжные магазины |
7,1 |
5,1 |
35,6 |
5,65 |
Музыка и видео |
7,6 |
3,8 |
25,3 |
4,96 |
Компьютеры и комплектующие |
31,5 |
15,1 |
58,0 |
21,02 |
Портативная техника |
23,3 |
11,2. |
402 |
16,52 |
Мобильные телефоны |
10,0 |
4,4 |
19,3 |
5,74 |
Универсальные магазины |
8,9 |
5,8 |
40,8 |
7,57 |
Подарки и сувениры |
5,3 |
4,8 |
143 |
5,27 |
Бытовая техника |
5,7 |
3,5 |
13,0 |
4,57 |
Товары для женщин и детей |
4,5 |
2,7 |
13,1 |
3,52 |
Аптеки |
4,2 |
2?3 |
7,3 |
3,00 |
Продуктовые магазины |
19 |
1,0 |
3,4 |
1,31 |
Спортивные товары |
1,6 |
ко |
3,4 |
1,31 |
Мебель и товары для дома |
1,4 |
0,8 |
3,9 |
1,04 |
Другое |
3,0 |
1,7 |
7,9 |
2,22 |