Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Содержание
Введение
. Определения и содержание терминов "Электронная коммерция", "Электронная торговля", "Безопасность электронной коммерции", "Эффективность электронной коммерции"
.1 Электронная коммерция
.2 Электронная торговля
.3 Безопасность электронной коммерции
.4 Эффективность электронной коммерции
. Объекты защиты в системе обеспечения безопасности электронной коммерции. Модель потенциального нарушителя
. Принципы и инструменты информационного поиска в сети Интернет
Заключение
Список используемой литературы
С развитием в последние годы современных информационных систем и систем международной связи появляется практическая возможность отойти от традиционной бумажной документации как главного носителя информации, на котором отражаются все стадии реализации коммерческой сделки. Использование бумажной документации, а также привычных методов ее обработки и пересылки на практике очень часто приводит к большим производственным и коммерческим издержкам. Разработанные к настоящему времени технологии электронной коммерции позволяют предпринимателям при осуществлении сделок передавать информацию с помощью современных информационно-коммуникационных систем, достигая при заключении, подтверждении и выполнении коммерческих сделок (контрактов) повышенной точности, скорости и эффективности. Электронная коммерция объединяет, таким образом, все формы деловых операций и сделок, осуществляемых электронным способом.
Цель данной работы - дать понятие и раскрыть содержание терминов "Электронная коммерция", "Электронная торговля", "Безопасность электронной коммерции", "Эффективность электронной коммерции", а также описать объекты защиты в системе обеспечения безопасности электронной коммерции, модель потенциального нарушителя.
В общем случае "система электронной коммерции" представляет собой определенную Интернет-технологию, предоставляющую участникам системы следующие возможности:
· производителям и поставщикам товаров и услуг различных категорий - представить в сети Интернет товары и услуги (в том числе он-лайновые услуги и доступ к информационным ресурсам), принимать через Интернет и обрабатывать заказы клиентов;
· покупателям (клиентам) - просматривать с помощью стандартных Интернет-браузеров каталоги и прайс-листы предлагаемых товаров и услуг и оформлять через Интернет заказы (заявки, запросы) на интересующие товары и услуги.
Важной (но необязательной) составляющей систем электронной коммерции являются системы проведения электронных платежей - в этом случае одним из участников системы становится банк.
Рис. 1. Схема электронной коммерции.
В числе функциональных возможностей, реализуемых системами электронной коммерции, можно выделить следующие:
· оформление заказов по каталогам и прайс-листам (заказы хранятся в единой базе данных);
· связь Интернет-приложений с внутренней системой делопроизводства;
· саморегистрация пользователей;
· поддержка как локального, так и удаленного (через Интернет) администрирования;
· возможность продаж через Интернет товаров различных категорий;
· обработка заказов по стандартной схеме (регистрация, поставка, отчетно-финансовые документы);
· проведение он-лайновых платежей.
Исходя из того, какими функциональными возможностями обладает та или иная система, решения в области электронной коммерции можно разделить на типы:
Основные
1. Торговая система (прием заказов, администрирование электронных магазинов)
2. Платежная система (оплата товаров и услуг).
Вспомогательные
1. Информационно-поисковые системы, взаимодействующие с торговыми системами
2. Биллинговые (учетные) системы (подсчет количества обращений пользователей, объема графика и т.п.).
Одним из самых совершенных отечественных решений в этой области является система электронной коммерции "ЭлИТ", разработанная компанией АйТи и представляющая собой полнофункциональное технологическое ядро, которое обеспечивает выполнение всех видов операций, типичных для Интернет-бизнеса. На основе тщательно проработанных технических спецификаций для конкретной реализации электронного магазина в сжатые сроки созданы Web-шаблоны, определяющие бизнес-процессы и внешний вид сервера.
Электронная торговля (англ. Electronic trading, eTrading, e-Trading) - осуществление торгово-закупочной деятельности через Интернет.
В зависимости от области применения и способа устройства различают следующие формы электронной торговли:
1. для взаимодействия бизнес-структур с конечными потребителями (B2C, business-to-customer) используются Интернет-магазины;
2. межфирменная торговля в Интернете (B2B, business-to-business) осуществляется через системы электронной торговли;
. подобные системы электронной торговли применяются и для взаимодействия государства с бизнесом (B2G, business-to-government). Через такие системы государственные учреждения и ведомства осуществляют свои закупки на открытом рынке.
Buisness-To-Customer (B2C) (Бизнес для Потребителя) - форма электронной торговли, целью которой являются прямые продажи для потребителя.C эффективен для устранения различий между крупными городами и удалёнными регионами в смысле доступности товаров и услуг для потребителя. B2C позволяет вести прямые продажи с минимальным количеством посредников. Устранение посредников даёт возможность устанавливать конкурентные цены на местах и даже увеличивать их (исключая вознаграждение посредников), что, естественно, приведёт к росту прибыли.
Система является одним из звеньев в цепочке современных бизнес-процессов, и это звено строит бизнес-отношения следующего плана взаимодействий: "Бизнес-клиент".to-Consumer - это концепция построения бизнес-процессов предприятия и комплекс Интернет-технологий и инструментов, обеспечивающих повышение прозрачности предприятия и облегчающих его взаимодействие с клиентами. Один из наиболее популярных инструментов B2C - Интернет-магазин.C (Business-to-Consumer) - термин, обозначающий коммерческие взаимоотношения между организацией (Business) и частным, так называемым, "конечным" потребителем (Consumer) /D.Chaffey, "E-Business and E-Commerce Management", 2007/. Часто используется для описания деятельности, которую ведёт предприятие, т.е., в данном случае, - продажа товаров и услуг непосредственно предназначенных для конечного использования.to Business (B2B) - то есть "бизнес для бизнеса". Это понятие характеризует, кто является источником, а кто адресатом какой-либо информации, товаров или услуг. Как правило, при этом имеется в виду деловое взаимодействие. Отличие от обычного бизнеса состоит в том, что здесь в качестве потребителя или клиента выступает другой бизнес, а не обычный потребитель.
Под понятием B2B также подразумеваются системы электронной коммерции, или системы электронной торговли - сложные аппаратно-программные комплексы, по сути, инструменты для осуществления торгово-закупочной деятельности в сети интернет. В интернете есть возможность проводить все виды торговых процедур (от простых запросов котировок до сложных конкурсов).
Кроме В2В, все большее распространяется и сокращение В2С - "Business to Consumers" (бизнес на потребителях, то есть "обычный"). Но появилось оно именно тогда, когда понадобилось внести ясность в разницу целевых аудиторий. Уже после B2B.
Кроме того, в последнее время начались попытки добавить и определение С2С (понятие тяготеет к обычной барахолке, наподобие Amazon.com). Хотя сам Amazon.com при этом вполне можно причислить к торговым площадкам, то есть к В2В, равно как и Forex.G (business-to-government) - отношения между бизнесом и государством. Обычно термин используется для классификации систем электронной коммерции. Примером B2G-систем могут служить системы электронных госзакупок.
Безопасность на сегодняшний день является ключевым вопросом при внедрении и использовании систем электронной коммерции (ЭК). Психологический фактор, связанный с осознанием угрозы потенциального мошенничества, остается основным препятствием для использования Интернета в качестве средства проведения коммерческих операций.
Пользователи и специалисты до сих пор не рассматривают Интернет как безопасную среду. Опросы показывают, что наибольшей потенциальной угрозой является несанкционированное получение персональных данных при использовании открытых каналов связи Интернет. По данным разработчиков платежной системы VISA около 23% транзакций ЭК так и не производится из-за боязни клиента ввести собственную персональную информацию [1] при работе, например, с электронным магазином персональную информацию о клиенте. Анализ литературных источников показывает, что для обеспечения необходимо выполнить следующие три условия:
исключить возможность перехвата персональной или банковской информации во время транзакции;
исключить возможность извлечения этой информации из баз данных;
исключить возможность использовать "украденную" информацию в собственных целях.
Для защиты от перехвата, для защиты информации во время транзакции используют как симметричные, так и ассиметричные криптоалгоритмы. Вместе с тем используются дополнительные каналы связи отличные от Интернет - каналов: факс, телефон, обычная почта и т.д.
Учитывая, что зарубежное и Российское законодательство приравнивает цифровую подпись к рукописной, широкое распространение получило аутентификация транзакций на основе концепции цифровой подписи.
При рассмотрении возможности перехвата интересующей информации, нельзя не исключить "человеческий фактор", поэтому одновременно с программно-аппаратными средствами необходимо использовать и организационные, обеспечивающие охрану информационных ресурсов, исключение шантажа, контроль за паролями и т.д.
Для защиты информации от перехвата используются протокол шифрования SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Однако в основе SSL лежит схема асимметричного шифрования с открытым ключом, в качестве шифровальной схемы используется алгоритм RSA, ввиду технических особенностей этот алгоритм считается менее надежным. SET более защищенный протокол, но технологически сложный и дорогой. Поэтому его повсеместное внедрение не осуществляется и вопрос безопасности остается открытым.
Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.
В настоящее время используется множество разнообразных систем электронного бизнеса. Это вызывает проблемы при выборе системы ЭК для решения конкретной задачи, стоящей перед пользователем. Предлагается использовать метод анализа иерархий для оценки параметров, по которым сравниваются системы ЭК.
Эффективность систем ЭК обозначает меру соответствия используемых в ней технологий, приемов и правил коммерческим потребностям ее субъектов.
Сейчас многие методики оценки эффективности Interntet-проектов, к которым относятся и системы ЭК, базируются на таких показателях работы, как частота посещаемости сайта и время, которое проводит посетитель на сайте. Например, для электронного магазина важным фактором оценки эффективности его функционирования является количество посетителей.
Существуют такие направления оценки эффективности систем ЭК:
экономическое;
организационное;
маркетинговое.
Эти три направления взаимосвязаны.
Экономическая эффективность может быть определена как отношение прибыли P, полученной вследствие применения системы, к затратам Z, связанным с ее разработкой и эксплуатацией: . Затраты при этом определяются как сумма капитальных вложений в проектирование, приобретение компонент и реализацию системы и эксплуатационных затрат . Но получить эти оценки можно только после внедрения системы. Пользователю же необходимо иметь средства выбора системы для реализации конкретной задачи, стоящей перед ним.
Чтобы сравнивать системы ЭК, можно использовать методы, применяемые для анализа открытых систем, которые предоставляют средства выявления приоритетов лица, принимающего решение (ЛПР), и измерения интенсивности взаимодействия компонент, описывающих структуру системы иерархии.
Под общедоступной информацией понимается информация собираемая, создаваемая и/или сохраняемая в процессе коммерческой активности в сети Интернет и, которая не составляет государственную или иного вида тайну, определенную законодательством. К информации ограниченного доступа можно отнести:
Государственная тайна. Обращение со сведениями, относящимися к государственной тайне, требует особого режима, исключающего допуск сторонних лиц. Права и обязанности участников информационных процессов при работе со сведениями, составляющими государственную тайну, регламентируются законом "О государственной тайне";
Коммерческая тайна - существует целый ряд сведений, не являющихся государственными секретами, связанных с производством, технологией, управлением, финансами, другой деятельностью хозяйствующего субъекта, разглашение которых (передача, утечка) может нанести ущерб его интересам. Такие сведения принято называть служебной и/или коммерческой тайной;
Персональные данные - под персональными данными понимается любая документированная и/или занесенная на машинные носители информация, которая относится к конкретному человеку и или которая может быть отождествлена с конкретным человеком.
Доступ к общедоступной информации является открытым и ее использование не может нанести вреда участнику электронной коммерции. Что касается информации ограниченного доступа, то доступ к ней должен быть строго регламентирован, т.е. должно быть четко установлено, где, кем, в каком объеме и на каких условиях может быть осуществлено использование данной информации. Из этого следует, что информация ограниченного доступа должна подвергаться защите от воздействия различных событий, явлений, как внутренних так и внешних, способных в тои или иной мере нанести ущерб данной информации.
Под объектом защиты информации, понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация.
Объекты защиты должны соответствовать следующим условиям:
ь Принадлежность к одному и тому же организационному компоненту ИС;
ь Локализация (ограничение с точки зрения территориального расположения).
К объектам защиты в системе обеспечения безопасности электронной коммерции можно отнести:
ь Рабочие станции пользователей;
ь Рабочие станции администраторов;
ь Серверы (сетевые, Баз Данных, приложений);
ь Аппаратура связи (модемы, маршрутизаторы);
ь Периферийные устройства (принтеры);
ь Помещения (места установки оборудования, хранилища машинных носителей информации и т.д.).
Под элементом защиты подразумевается находящаяся в ИС совокупность данных, которая может содержать подлежащие защите сведения.
Элементы защиты специфицируются, как правило, для каждого отдельного объекта защиты. Так, по признаку локализации можно выделить следующие основные элементы защиты данных:
ь Обрабатываемых в ЭВМ;
ь На дискете;
ь На локальном жестком диске рабочей станции;
ь На жестком диске сервера;
ь Обрабатываемы в аппаратуре связи;
ь Передаваемы по каналу (линии) связи;
ь Данные, выводимые из ЭВМ на периферийные устройства.
Таким образом, в системе обеспечения безопасности электронной коммерции должен осуществлять комплексный подход к защите ИС. Комплексный подход подразумевает использование единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.
Модель потенциального нарушителя
В модели нарушителя определены четыре класса потенциальных нарушителей, каждый из которых характеризуется определённым уровнем квалификации и степенью преднамеренности выполняемых действий. Опишем такую классификацию для вирусной угрозы.
Нарушители, относящиеся к классу "Н-1", представляют собой пользователей, в результате непреднамеренных действий которых может произойти инфицирование его автоматизированной системы. Примерами таких действий являются скачивание из сети Интернет непроверенных файлов и запуск их на локальном компьютере.
Нарушители класса "Н-2" выполняют преднамеренные действия, однако для проведения вирусной атаки используются известные экземпляры вредоносного кода, а также опубликованные уязвимости программного обеспечения.
Класс нарушителей "Н-3" предполагает наличие у злоумышленника более высокого уровня квалификации, что даёт ему возможность использовать вредоносный код, который может детектироваться не всеми антивирусными продуктами.
Нарушители класса "Н-4" являются наиболее опасными и обладают достаточной квалификацией для разработки вредоносного кода, который не обнаруживается антивирусными программными продуктами.
Необходимо отметить, что в рамках описанной модели предполагается, что нарушители "Н-2", "Н-3" и "Н-4" являются внешними по отношению к атакуемой рабочей станции, обладают минимум информации об автоматизированной системе пользователя.
Общая характеристика описанной модели нарушителя для любого вида угроз приведена в таблице ниже.
Модель потенциального нарушителя антивирусной безопасности
№ |
Класс нарушителя |
Степень преднамеренности действий нарушителя |
Уровень квалификации нарушителя |
1 |
Класс "Н-1" |
Непреднамеренные действия |
- |
2 |
Класс "Н-2" |
Преднамеренные действия |
Низкий |
3 |
Класс "Н-3" |
Преднамеренные действия |
Средний |
4 |
Класс "Н-4" |
Преднамеренные действия |
Высокий |
Представленная модель является лишь одним из возможных примеров классификации нарушителя.
Задание 1.1. Попробуйте посетить перечисленные ниже сайты с помощью третьего, ассоциативного, способа.
В отчете отобразите с помощью, каких предполагаемых доменных имен Вы искали необходимые сайты и верное доменное имя сайтов.
а) сайт Воронежского Государственного Университета
б) сайт, посвященный спорту и содержащий анонсы, комментарий спортивных мероприятий. интервью спортсменов
в) сайт Правительства Кировской области
г) сайт любого охотничьего клуба
д) сайт любой компании, занимающейся созданием Интернет-сайтов
е) сайт любой политической партии
ж) сайт газеты "Газета"
Решение
Интернет представляет собой уникальную коммуникационную среду, позволяющую в короткие промежутки времени получать доступ к полноценной визуальной, аудиальной и иной информации.