| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
Проблемы безопасности в электронном бизнесе Безопасность любой системы электронной коммерции в целом заключается в защите от различного рода вмешательств в ее данные. Все эти вмешательства можно разделить на несколько категорий:
При этом нельзя не учитывать, что в вопросах безопасности в данной сфере имеется ряд объективных проблем правового характера - технологии развиваются значительно быстрее законодательной базы, злоумышленника трудно поймать на месте преступления, а доказательства и следы преступлений легко могут быть бесследно уничтожены. Все это обуславливает необходимость тщательной разработки компаниями политики защиты своего электронного бизнеса. Полная и абсолютная безопасность недостижима, так как системы электронного бизнеса построены на базе множества готовых и сделанных на заказ программных приложений различных поставщиков и значительного количества внешних сервисов, предоставляемых провайдерами соответствующих услуг или бизнес-партнерами. Значительная часть этих компонент и сервисов обычно непрозрачны для IT-специалистов компании-заказчика, кроме того, многие из них часто модифицируются и усовершенствуются их создателями. Все это невозможно тщательно проверить на предмет потенциальных дефектов защиты, и еще сложнее все эти дефекты устранить. И даже если бы это было возможно, нельзя исключить так называемый человеческий фактор, так как все системы создаются, изменяются и управляются людьми, а согласно исследованиям Института компьютерной безопасности 81% респондентов отметили, что наибольшее беспокойство у компаний вызывает именно внутренняя угроза - умышленные или неумышленные действия собственных сотрудников. В проблеме защиты от внутренних угроз есть два аспекта: технический и организационный. Технический аспект заключается в стремлении исключить любую вероятность несанкционированного доступа к информации. Для этого применяются такие известные средства, как:
Организационный аспект состоит в разработке рациональной политики внутренней защиты, превращающей в рутинные операции такие редко используемые компаниями способы защиты и предотвращения хакерских атак, как:
Для защиты от внешнего вторжения сегодня существует множество систем, по сути являющихся разного рода фильтрами, помогающими выявить попытки хакинга на ранних этапах и по возможности не допустить злоумышленника в систему через внешние сети. К таким средствам относятся (см. рис. 1):
Рис. 1 Основная модель защиты сети. В целом, первое, что следует сделать компании - это разобраться, что и от кого должно быть защищено. В качестве основных игроков на этом поле выступают акционеры компании, потребители, сотрудники и бизнес-партнеры, и для каждого из них необходимо разработать собственную схему защиты. Все требования по безопасности должны быть задокументированы, чтобы в дальнейшем служить руководством для всех реализаций электронно-коммерческих приложений и средств их защиты в различных направлениях деятельности компании. Кроме того, это позволит сформировать отдельный бюджет для обслуживания проблем безопасности в рамках компании и оптимизировать расходы на эти нужды, исключив дублирование каких-либо вопросов защиты при разработке каждого отдельного бизнес-проекта. К сожалению, сегодня практика такова, что политика защиты отдается руководителями на откуп IT-подразделению, сотрудники которого полагают что технологические вопросы важнее каких-то там "бумажных" предписаний, и к тому же, не являются специалистами в отдельных областях бизнеса, также требующих четких процедур защиты в рамках компании. Кроме того, при сопряжении различного программного обеспечения могут появиться специфические проблемы, не известные производителям каждого из интегрированных продуктов. Исследование таких взаимодействий должно предварять любые технологические и бюджетные решения. И этому пока также уделяется слишком мало внимания. |
|
| ||||||||||||||||
|