Безопасность и риски в интернете и электронной коммерции

Министерство  образования РФ

Сибирский государственный университет телекоммуникаций и информатики

 

 

 

 

 

 

Реферат на тему:

«Безопасность и риски в интернете и электронной коммерции»

 

 

 

 

 

Выполнил: студент 1 курса  Каменев В.П., группа ИЭ-261

Проверил: преподаватель  Трофимов В.К

 

 

 

 

 

 

 

 

 

 

 

 

Новосибирск,2012

Введение

В Интернете  есть диапазон различных источников риска, связанного с ведением дела. Некоторые из них – прямые последствия  наличия веб-сайта вообще. Некоторые  получаются из особенной сущности Вашего бизнеса, некоторые от формальности Вашего присутствия в сети. Еще  один вид риска – другие риски, происходящие из действий Вашего штата. Важно признать, что не весь электронный бизнес, связанный с риском основывается электронным способом, даже когда имеется электронное проявление.

Изучение целей

При ведении  электронной коммерции необходимо:

1. Распознавать главные области риска, связанные с электронным бизнесом.
2. Анализировать соответствующие роли системы и человеческие факторы, привлеченные в такие риски.
3. Оценивать эффективность различных полных подходов к управлению электронным риском.

Масштаб воздействия

Часто цитируемый анализ трудностей Форреста, связанных с (глобальной) электронной коммерцией, определил восемь главных источников:

1. внутренняя политика;
2. глобальный/местный баланс;
3. региональная координация;
4. культурные различия;
5. недостаточный сервис снабжения;
6. переход от глобального к стратегии сети;
7. глобальная логистика;
8. сложность продукта.

 

Рис. 4.1. Сеть потенциальной уязвимости

 

Но интересно, проблема безопасности не вошла в этот список. Проблемы, относящиеся к стратегии, были отмечены как более важные факторы. Маловероятно, что подобный результат был бы получен, если бы такое исследование проводилось снова в наше время. Рост "спама", это свидетельство крупномасштабного финансового мошенничества, совершенного в Интернете, использование электронной почты преступными бандами – всё это и другое принесли проблемы безопасности ключевого момента для дальнейшего развития Интернета. Всё это требует некоторой меры контроля, который в свою очередь влияет на скорость и стоимость интернет-операций.

Рисунок 4.1 показывает диапазон возможных источников рисков и уязвимости для организации, проводящей часть своего бизнеса  через Интернет.

В этой таблице мы видим упрощенную модель некоторых из ключевых элементов организации и операции ее электронного бизнеса. Можно увидеть, что даже упрощенная модель, это не простой вопрос – есть очень много возможных источников рисков и уязвимости к некоторому виду опасности. В каждом пункте интерфейса (показанный стрелками в таблице), есть возможность для некоторого рода разрушающих событий или процессов. Например, у организации могут быть спецификации и процедуры безопасности для программного обеспечения, которые устанавливаются ее специалистом по компьютерам, но не имеют системной защиты против установки несанкционированного программного обеспечения, или даже связи с техническим обеспечением в местных компьютерах или автоматизированных рабочих местах, расположенных в различных частях компании. Факт, что если некоторая часть программного обеспечения не санкционируется, то не означает, что это обязательно приведет к повреждению или потере любого вида, но это увеличивает риск. Например, у большинства организаций будут весьма сложные процедуры для того, чтобы проверить на вирусы и на связанные пакеты – так называемые вредоносное программное обеспечение, и чистить любые диски или другие источники, используемые для того, чтобы хранить программное обеспечение. Однако, во многих организациях культура может хорошо совмещаться с личностями, вводящими диски, содержащие несанкционированный материал, такие как то, что загружено от открытого веб-сайта, скопированного от друга, или даже от бесплатного компакт-диска, отданного с компьютерным журналом. Кроме очевидного потенциала заражения вредоносным программным обеспечением, есть дополнительная возможность, что установка части несанкционированного программного обеспечения может вовлечь включение или выключение некоторой особенности операционной системы, которая затем формирует существующее программное обеспечение неэффективным.

Модель  воздействия на рисунке 4.1 указывает  источники или потенциальные  пункты уязвимости. Это может дать рост широкому диапазону различных  типов слабости безопасности. Лаудон и Трэвер (2001) определяют шесть главных форм риска безопасности, связанного с электронной коммерцией:

• Целостность: Может ли содержание информации, полученной через Интернет, измениться некоторым образом неизвестной стороной?
• Отказ от оплаты: компания может послать что-либо, что заказывалось в Интернете, и обнаружить, что получатель отказывается платить, потому что утверждает, что этого никогда не получал; потенциально это можно объединить со сбоем целостности, позволяя кому-то другому, чем реальный клиент взять поставку товаров.
• Подлинность: человек или организация, с которой Вы общаетесь по сети, кем они являются?
• Конфиденциальность: Если я посылаю важную личную информацию другой стороне, могу я быть уверен, что никто больше не сможет получить доступ к ней пока она в пути?
• Частная жизнь: Если я посылаю важную личную информацию другой стороне, могу я быть уверен, что они будут использовать ее ответственно и использовать только в цели, для которой я ее обеспечил?
• Доступность: интернет-обслуживание компании, которое я ищу, является доступным тогда, когда мне это нужно или иногда оно не доступно?

В дальнейшем, мы будем называть потенциал воздействия повреждения; степень вероятности повреждения, уровень воздействия, и потенциальная трудность повреждения, степень воздействия. Мы можем различить на рисунке 4.1 выше, две взаимнопересекающихся категории источников риска:

• Внутренний к организации.
• Внешний, или через веб-сайт, электронную почту или другую сторону компьютерной системы, или через интернет-интерфейс, интернет-канал связи, или провайдер услуг интернета.

Мы пройдем  оба из этих главных источников воздействия  и определим и общий уровень, и степень, так же определим некоторые  методы, которыми может быть минимизировано воздействие.

 

Внутреннее воздействие

Тематически, во всех областях воздействия есть человеческие и технические факторы. Вообще говоря, человеческие факторы  являются самыми проблематичными, и  требуют более осторожного внимания. Технические факторы могут создать  слабости, но они могут быть идентифицированы и включены, так или иначе. Человеческий аспект, однако, это то, что у каждого  из нас есть уникальная и весьма сложная совокупность интересов  и намерений и, в результате этого, есть очень много различных причин, почему кто-то мог бы неосторожно  или преднамеренно эксплуатировать  любой электронный бизнес, связанный  с уязвимостью организации или  сети.

Вредоносное программное обеспечение

Мы обычно слышим о вирусах, червях, троянских  конях и других формах заражения программного обеспечения. Они – формы пакета программ, разработанного преднамеренно, чтобы создать некоторый эффект или проблему для получателя компьютерной системы – обычно его называют враждебным программным кодом, или коротко вредоносное программное обеспечение. Заражение вредоносным программным обеспечением – один из самых больших единственных источников воздействия для малых организаций (хотя, как мы увидим позже, другие угрозы могут быть более серьезными для действительно больших корпораций). Оно имеет и внутренний и внешний аспект к этому. Комментарии ниже сконцентрируются в начале на внутренних слабостях, которые могут привести к заражению, и затем посмотрят на внешний аспект.

Что такое вредоносное программное  обеспечение?

Есть  три главных вида враждебных программ:

Вирус: Это – самый известный термин, часто используемый обманчиво для всех подобных программ; вирус – программа, которая вообще поселит в файле (обычно, хотя не всегда, выполнимом файле или программе) копию себя, и распространит эти копии к другим файлам, по пути он может сделать что-то еще, такое как показ изображения, или переписать часть чьей-то операционной системы, или стереть данные сохраненные на жестком диске.

Червь: Он может сделать вещи подобные вирусу, но пока вирус распространится от файла к файлу внутри одного компьютера, червь будет путешествовать по сети; по этой причине вирусы могут так же, как часто распространяться через обмен дисками, как часто черви будут переданы через Интернет; обычно метод передачи червем – получение доступа к чьей-то адресной книге в программе электронной почты и затем посылающий себя во все адреса, которые там содержатся.

Троянский конь: Это – то, куда пакет программ активно не передается, но скрывается в пределах некоторого файла, который выглядит безопасным, и возможно, полезным пользователю (игра – общее средство передачи с этой целью), побуждая их открыть пораженный вирусом файл (отсюда название).

Уже появляется четвертая форма враждебного  программного кода. Много веб-страниц  используют апплеты (маленькие программы, которые добавляют различные  формы функциональных возможностей к ним, те, которые выскакивают на экране, или события связанные с движением мыши; они часто пишутся в Java или языки JavaScript).

Отношение с вредоносным  программным обеспечением

Почти у  всех главных организаций есть более  или менее тщательно разработанные  методы защиты против заражения вредоносным  программным обеспечением. Этот уровень  охвата сокращается быстро, как только каждый спускается к уровню малых  предприятий и людей. Некоторые  обследования предположили, что меньше чем одна треть всего SMEs защищена против оптовой потери данных из-за воздействия вредоносного программного обеспечения. Общий более низкий уровень меньшей пользовательской защиты, по сравнению с главными корпорациями, прежде всего, снижает стоимость: большая организация может выдержать большие накладные расходы, которые необходимы для защиты против всех главных элементов риска. Это может потребовать не только защита программного обеспечения от вредоносного программного обеспечения, которая несет стоимость в ее собственном праве – но также и техническое обслуживание, обновление, поддержка обработки данных, и так далее. Все эти факторы, которые могут сделать малый бизнес, или индивидуального предпринимателя почувствовать, что стоимость более важна, чем риск, который управляется.

Но когда  каждый добавляет к этому факт, что большое количество компаний почти в каждой стране мира –  малые предприятия, зарабатывающие скромную прибыль, тогда потенциальный  масштаб всемирного воздействия  становится огромным.

Важно напомнить  в этом контексте аналогию с человеческим заражением: чем больше людей с  гриппом, тем больше шанс у вас  заразиться им. Кроме очень смертельного заражения, небольшой контакт только с одним человеком несет гораздо низкий уровень воздействия, чем длительный контакт или контакт со многими зараженными людьми. Подобным образом, если у одного ПК где-нибудь есть заражение, которое основывается на вредоносном программном обеспечении, то вероятно, что она будет передана к некоторым другим. Если у них всех есть некоторая форма защиты тогда, скорость передачи значительно уменьшается. Если они – все малые предприятия с устаревшей базой или без защиты, то скорость передачи сильно увеличится, в некоторых случаях к скорости миллионов в час.

Тогда, относительно низкие уровни человека или защиты SME против так называемого вредоносного программного обеспечения – серьезный фактор компромисса в интернете и в безопасности электронного бизнеса. Торговая компания, например, может быть хорошо защищена, но ключевой вопрос – как хорошо защищены их клиенты или их покупатели.

Многие  из основных трудностей вредоносного заражения касаются не столько технических  особенностей защиты, столько целостности  и законченности защитной методологии  или управления технологией. Самые  общие методы защиты – (a) коммерческое антивирусное программное обеспечение, такое как McAfee или Norton (b) установка брандмауэра, где фильтрация программного обеспечения устанавливается в точках входа, связанных с системами Интернета. Однако у обоих подходов есть недостатки.

Одним недостатком  коммерческого антивирусного программного обеспечения обычно является устаревшая к тому времени база, когда он достигает клиента. То есть риски, против которых он разработан, чтобы защитить клиента, были уже определены главными пользователями, и шаги были уже  сделаны теми же главными пользователями, чтобы сражаться с ними. Например, Microsoft касался целых отделов с определением и обезвреживанием вирусов и червей. Со многими вредоносными программными обеспечениями объекты имеют дело без конечных пользователей, даже будучи осведомленными о произошедшем, иногда потому что они направлены к большим системам или против структуры Интернета непосредственно – главные серверы. Но авторы сложных и определенных вредоносных программных обеспечений продолжили развивать их собственные "продукты", чтобы избежать таких защит. Например, у известного вируса "концепт" теперь есть буквально множество вариантов.

Но коммерческое антивирусное программное обеспечение, являющееся устаревшим, не является причиной обходиться без них. После того, как пакет был определен и решение или защита, найдены для него, появляются блоки узлов Всемирной Паутины, которые не извлекли урока из этого решения, и будут индивидуальные персональные компьютеры, у которых есть заражение, находящаяся на их жестких дисках и передающая ее – иногда неизвестный владельцу – в течение многих месяцев или даже последующих лет. Снова, это отражает роль человеческих векторов в распространении и борьбой с заражением – после того, как лечение, возможно, было найдено, и большинство населения защищены против заражения, там останутся только индивидуальные носильщики в менее исследованных областях.

Связанный недостаток состоит в том, что  эти виды защит имеют только ограниченную передовую ценность. Вообще, они  предотвратят существующий пакет, входящий в систему, и часто также защитят  против новой формы вредоносного программного обеспечения основанного  на существующей стратегии. Если особенный вид заражения был определен (речь идет о том, что активизированный червь посылает по электронной почте копию каждых из электронных писем пользователя к нераскрытому местоположению), то шаги могут быть сделаны, чтобы иметь дело с этим и с другими подобными программами, которые могли бы получить вход в систему через тот же самый вид процесса, и сделать подобные вещи с адресной книгой. Так, как только система защиты определилась в отношении против программы, которая посылает изображение во всю Вашу адресную книгу, тогда это будет иметь дело с любым, который посылает текстовый файл, или также сообщение электронной почты.