Informacije

Sigurnost e-trgovine

Sigurnost e-trgovine



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Sigurnost - stanje zaštite od mogućih oštećenja, mogućnost zadržavanja ili pariranja opasnih utjecaja, kao i brzo nadoknađivanje nastale štete. Sigurnost znači da sistem održava stabilnost, stabilnost i mogućnost samorazvoja. Jedna od najpopularnijih tema za raspravu je sigurnost e-trgovine.

No do sada, i pored svih vrijednih mišljenja i izjava, ne postoji praktičan, "zemaljski" vodič o onome što je još uvijek predmet e-trgovine. Ovaj članak daje neke točke gledišta na to pitanje i pokušava odvojiti mitove od stvarnosti. Pokušajmo odgovoriti na neka osnovna pitanja koja su stručnjacima očigledna.

Sistemi mogu biti sigurni. Sustavi se mogu zaštititi samo od poznatih prijetnji, s tim da je broj povezanih rizika smanjen na prihvatljiv nivo. Samo vi sami možete pronaći pravi balans između željenog nivoa smanjenja rizika i troškova rješenja. Sigurnost općenito jedan je od aspekata upravljanja rizikom. A informacijska sigurnost kombinacija je zdravog razuma, upravljanja poslovnim rizicima i osnovnih tehničkih vještina pod kontrolom pristojnog upravljanja, mudre uporabe specijaliziranih proizvoda, sposobnosti i stručnosti te pravih razvojnih tehnologija. U isto vrijeme, web stranica je samo sredstvo dostave informacija potrošaču.

Sigurnost web stranica je čisto tehničko pitanje. Prečesto je sigurnost više kontrola nad procesom razvoja, pravilnim upravljanjem konfiguracijom operativnog sistema i općenito dosljednim upravljanjem web mjesto. Prava sigurnost je pod vašom izravnom kontrolom - ono što je prihvatljivo u razvoju internih sistema možda nije pogodno za usluge koje se u potpunosti dijele. Problemi u sistemu koji pogađaju samo nekoliko pouzdanih zaposlenika unutar preduzeća postaju očigledni pri prelasku u zajedničko okruženje.

Mediji redovno izvještavaju o svim sigurnosnim slabostima i rizicima. Često mediji izvještavaju samo o onim problemima koji mogu privući svačiju pažnju i ne zahtijevaju posebne vještine da bi shvatili temeljni problem. Takve poruke rijetko odražavaju stvarne prijetnje poslovanju sa stanovišta sigurnosti i često nemaju nikakve veze sa sigurnošću.

Podaci o kreditnim karticama na Internetu nisu sigurni. Zapravo su podaci o kreditnim karticama mnogo manje podložni krađi kada se prenose putem Interneta nego iz obližnje trgovine ili restorana. Beskrupulozno poslovanje može biti zainteresirano za neovlašteno korištenje takvih podataka, a način na koji radite s njim - putem interneta ili ne - više nije toliko važno. Moguće je povećati sigurnost stvarnih poslanih informacija korištenjem sigurnih kanala prijenosa i pouzdanih web lokacija. Bitni sastojak mnogih sistema e-trgovine je potreba za pouzdanom identifikacijom potrošača. Način identifikacije direktno utječe ne samo na stepen rizika, već čak i na vrstu krivičnog gonjenja.

Lozinke identificiraju ljude. Lozinke daju samo osnovnu potvrdu - da li se neko ko je ovlašten za upotrebu određenog sistema povezuje. Ljudi imaju tendenciju da ne skrivaju previše svojih lozinki od drugih - posebno od bliskih rođaka i kolega. Sofisticiranija tehnologija provjere autentičnosti može biti mnogo isplativija. Razina korištene autentičnosti trebala bi odražavati rizik pristupa informacijama od strane nasumičnih osoba, bez obzira na pristanak stvarnog vlasnika.

Nakon konfiguriranja i instaliranja, sigurnosno rješenje tijekom vremena ostaje pouzdano. Preduzeća ne instaliraju uvijek sisteme onako kako se očekuje, promjene poslovanja i pretnje. Morate osigurati da sustavi održavaju sigurnosne profile i da se vaš profil kontinuirano preispituje u smislu poslovanja i razvoja okoliša. Tehnologija je podjednako važna, ali treba je promatrati kao dio šireg spektra sigurnosnih kontrola. Vatrozidovi se obično nazivaju rješenjem za zaštitu sadržaja web mjesta e-trgovine, ali čak i one imaju svoje slabe strane.

Zaštitni zidovi su neprobojni. Primjenjujući vatrozid, možete se odmarati na lovorikama uz uvjerenje da napadači nikad neće probiti do njega. Problem je što se moraju konfigurirati tako da nešto prometa i dalje teče kroz njih, i u oba smjera. Morate pažljivo razmotriti šta pokušavate zaštititi. Sprječavanje napada na vašu početnu stranicu vrlo se razlikuje od sprečavanja upotrebe vašeg web poslužitelja kao putanje do vaših serverskih sistema, a zahtjevi za firewall u oba su slučaja vrlo različiti. Mnogi sustavi zahtijevaju sofisticiranu višeslojnu sigurnost kako bi osigurali da su osjetljiviji podaci dostupni samo ovlaštenim korisnicima. E-pošta je obično ključ za bilo koju web lokaciju za e-trgovinu. Međutim, sa sobom donosi niz sigurnosnih izazova koje nije moguće zanemariti, a koji spadaju u dvije glavne kategorije:
Zaštita sadržaja e-pošte - može se štititi ili čitati.
Zaštita vašeg sistema od dolaznih napada e-poštom.
Ako namjeravate raditi sa povjerljivim ili osjetljivim na integritet podataka e-pošte, postoji mnogo proizvoda koji ih mogu zaštititi.

Virusi više nisu problem. Virusi i dalje predstavljaju ozbiljnu prijetnju. Najnoviji hobi stvaralaca virusa jesu datoteke priložene pismima koje, kada se otvore, izvršavaju makronaredbe i obavljaju radnje neovlašteno od strane primatelja. Ali razvijaju se i druga sredstva za širenje virusa - na primjer, putem HTML web stranica. Provjerite jesu li vaši antivirusni proizvodi ažurirani. Ako su dizajnirani za skeniranje virusa, možda će moći samo da otkriju viruse, a ne da ih eliminiraju.

Tvrtka koja posjeduje certifikat javnog ključa cijenjenog certifikacijskog tijela (CA) već je pouzdana u svoje pravo. Certifikat jednostavno podrazumijeva nešto poput: "U vrijeme zahtjeva za certifikat, ja, CA, izvršio sam poznate radnje kako bi provjerio identitet ove kompanije. Možda ste ili ne možete biti zadovoljni. Nisam upoznat s ovom tvrtkom i ne znam možete li vjerovati u to, pa čak i - u čemu se tačno radi. Ako sam informisan da je javni ključ diskreditovan, ni ne znam da je, na primjer, ukraden ili prebačen nekom drugom, a na vama je da provjerite, a ne otkazuje se. Moja odgovornost je ograničena na odredbe Izjave o politici, koje biste trebali pročitati prije upotrebe ključeva povezanih s ovom tvrtkom. "

Digitalni potpisi su elektronički ekvivalent rukopisu. Postoje neke sličnosti, ali postoje mnoge vrlo značajne razlike, tako da je nerazumno ove dvije vrste potpisa smatrati jednakovrijednim. Njihova pouzdanost ovisi i o tome koliko je strogo utvrđeno da je privatni ključ zapravo u individualnoj uporabi. Ključne razlike su i u sledećem:
- Rukom pisani potpisi u potpunosti su pod kontrolom potpisnika, dok se digitalni potpisi stvaraju pomoću računala i softvera koji mogu ili ne moraju raditi na način na koji se može vjerovati.
- Rukom pisani potpisi, za razliku od digitalnih, imaju original koji se može kopirati.
- Rukom pisani potpisi nisu previše povezani s onim što potpisuju, sadržaj potpisanih radova može se mijenjati nakon potpisivanja. Digitalni potpisi su usko povezani sa specifičnim sadržajem podataka koji su potpisali.
- Mogućnost izvođenja rukom pisanog potpisa ne može biti predmet krađe, za razliku od privatnog ključa.
- Rukom pisani potpisi mogu se kopirati s različitim stupnjevima sličnosti, dok se kopije digitalnih potpisa mogu kreirati samo korištenjem ukradenih ključeva i imaju 100% identitet potpisa stvarnog vlasnika ključa.
- Neki protokoli za provjeru autentičnosti zahtijevaju da u vaše ime digitalno potpišete podatke i nikad ne znate što je potpisano. Možete biti prisiljeni da digitalno potpišete gotovo sve.

Sigurnosne proizvode možete ocjenjivati ​​prema njihovoj funkcionalnosti, baš kao i poslovni apartmani. Oni također zahtijevaju procjenu sigurnosti njihove provedbe i one prijetnje od kojih se ne mogu zaštititi (koje možda nisu dokumentirane). Općenito, poslovne aplikacije biraju se na osnovu njihove funkcionalnosti i lakoće upotrebe. Često se uzima zdravo za gotovo da se funkcije izvršavaju onako kako se i očekivalo (na primjer, paket izračuna poreza pravilno izračunava porez). Ali to nije fer za sigurnosne proizvode. Najveće je pitanje ovdje kako se provode funkcije zaštite. Na primjer, paket može ponuditi moćnu provjeru lozinke za korisnike, ali lozinke i dalje pohranjuje u običnu tekstualnu datoteku koju gotovo svako može pročitati. A to bi bilo daleko od očiglednog i moglo bi stvoriti lažni osjećaj sigurnosti.

Sigurnosne proizvode je lako instalirati. Većina proizvoda se isporučuje sa zadanim postavkama. Međutim, organizacije imaju različite sigurnosne politike i konfiguracije svih sustava i radnih stanica rijetko se podudaraju. U praksi, instalacija treba biti prilagođena sigurnosnoj politici organizacije i svakoj konkretnoj konfiguraciji platforme. Provjeravanje mehanizama održavanja za brzo rastući broj korisnika i druge atribute stvaranja sigurnog okruženja za stotine postojećih korisnika može biti složen i dugotrajan proces.

PKI proizvodi štite e-trgovinu bez okvira. PKI proizvodi su osnovni alat za pomoć u implementaciji sigurnosnih rješenja, ali samo kao dio cijelog paketa, koji uključuje i pravne, proceduralne i druge tehničke elemente. U praksi je to često puno teže i skuplje od instaliranja osnovnog PKI-ja.

Sigurnosni savjetnici zaslužuju apsolutno povjerenje. Imajte na umu da će sigurnosni savjetnici imati pristup svim vašim najosjetljivijim procesima i podacima. Ako angažirani savjetnici ne rade u uglednoj tvrtki, potrebno je pribaviti informacije od nezainteresiranog izvora o njihovoj kompetenciji i iskustvu - na primjer, razgovarati s njihovim prethodnim kupcima. Mnogo je savjetnika koji tvrde da su profesionalci u području informacijske sigurnosti, a zapravo nemaju malo ili uopće ne znaju o čemu se radi. Oni čak mogu stvoriti lažni osjećaj sigurnosti uvjeravajući vas da su vaši sustavi sigurniji nego što stvarno jesu.

Zaključci.

Stoga prije nego što prođete kroz najsavremenije brošure o sigurnosti, razvrstajte osnovne stvari:
- Pažljivo izračunajte vrste rizika koji prijete vašem poslovanju putem e-trgovine i koliko bi ih koštali, a ne trošite više na zaštitu od ove procijenjene cijene rizika.
- Uspostavite ravnotežu između proceduralnih i tehničkih kontrola sigurnosti.
- Razviti cjelovit projekt u kojem bi sigurnost bila jedna od osnovnih komponenti, a ne bi se uvodila post facto, nakon nekih rasprava.
- Odaberite sigurnosne proizvode prikladne za ovaj projekt.


Pogledajte video: Sigurnost Online Kupovine - Petar Stefanović - Lekcija (Avgust 2022).