Современная практика применения технологий электронного обмена данными

Введение
Глава 1. Понятие и инструменты электронного обмена
1.1. Электронные каталоги
1.2. Электронные рынки
Глава 2. Защита электронного обмена
2.1. Классы защитных средств
2.2 Способы защиты электронных документов
Заключение
Список использованных источников и литературы

Современная практика применения технологий электронного обмена данными

Недостатки:
- ограничение бизнес-окружения один покупателем;
- потеря контроля над своими данными, сложность удаленного управления ими;
- потеря дифференциации (отличия от конкурентов).
Преимущества:
- осуществление контроля над данными и процессами;
- создание унифицированного интерфейса и поиска про-
дукции разных поставщиков;
- возможность интеграции каталога с внутренними информационными системами;
- возможность индивидуализации ПО электронного снабжения. Недостатки:
- зависимость от качества и актуальности данных поставщиков;
- разный уровень электронной готовности поставщиков;
- высокие затраты времени и труда на подготовку и управление каталогом.
Предполагается, что инициатор электронного взаимодействия имеет технические возможности для создания и управления каталогом.В противном случае эти функции могут быть переданы третьей стороне на основе соглашения об аренде программного приложения ASP (Application Service Providing).
Каталоги, управляемые сторонней организацией, называют third-party-hosted, однако некоторые авторы относят к их числу каталоги, которые аккумулируют информацию из множественных источников, то есть реализуют модель взаимодействия многие-ко-многим (электронные рынки)1. К ситуациям снабжения, которые характеризуются высокой важностью риска, должны применяться только модели взаимодействия один ко многим (supplier-hosted каталог) или многие к одному (buyer-hosted каталог).
Таким образом, для ситуации «развития взаимоотношений» предлагается следующая технология взаимодействия поставщиков и покупателей. На начальной стадии устанавливаются долговременные контракты со стратегическими поставщиками. Эти контракты устанавливают цену продукции, условия и сроки поставки, минимальную партию товара и т.п. Далее уполномоченные сотрудники производственных подразделений компании-покупателя, минуя отдел формируют заявки на покупку необходимой продукции. Система электронного снабжения проверяет легитимность заявки и действий сотрудника и направляет заявку поставщику, принимает от поставщика счет на оплату, направляет его в финансовую систему своего предприятия, отслеживает ход выполнения заявки, фиксирует ее получение и соответствие требованиям качества и т.д.
Преимущества такой системы очевидны. Сотрудники отдела снабжения освобождаются от выполнения рутинных операций по сбору и заполнению заявок на покупку, их квитования с документами о получении и оплате и т.п. Использование информационных технологий дает им возможность сосредоточиться на решении тактических и стратегических задач, таких как выбор и оценка потенциальных поставщиков, проведение переговоров и заключение договоров, управление контрактами, оставляя выполнение оперативных задач конечным пользователям. Более того, использование системы электронного снабжения позволяет ускорить длительность выполнения заявок, путем сокращения бюрократических процедур, не теряя при этом экономии на масштабе покупок (поскольку цены установлены в рамках контракта).
В случае supplier-hosted каталога система электронного снабжения покупателя представляет собой так называемый punch-out-roundtrip каталог, который интегрирует систему электронного снабжения покупателя с Web-каталогом продавца. Данное программное обеспечение открывает доступ к Web-сайту поставщика непосредственно из системы электронного снабжения покупателя. Покупатель «покидает» (punches out) информационную систему своей компании и работает с Web-каталогом поставщика для поиска и заказа продукции, в то время как программное обеспечение электронного снабжения поддерживает соединение с данным Web-сайтом и собирает всю релевантную информацию.
Необходимо отметить, что создание как buyerhosted, так punch-out-roundtrip каталогов является высоко затратным мероприятием, поэтому разумно только для взаимодействия со стратегическими поставщиками, иными словами, именно для ситуации «развития взаимоотношений».
Для ситуаций «контролируемой диверсификации» мы предлагается использование механизма проведения аукционных торгов, который реализует стратегию поддержания конкурентного соревнования между ограниченного круга заранее отобранных поставщиков.
В современном бизнес-окружении динамическая покупка и продажа являются неотъемлемой частью бизнеса многих компаний. Покупатели хотят получать товары и услуги по более выгодным ценам, чем те, что зафиксированы в каталоге. Этому способствует также наличие множества альтернативных поставщиков, производящих продукцию стандартных требований и спецификаций. Иными словами, электронный каталог в данном случае может использоваться как информационная база для выбора поставщиков с целью приглашения их к участию в аукционных торгах.
1.2. Электронные рынки
Практика показывает, что наиболее распространенным инструментом проведения электронных торгов в межкорпоративном секторе является обратный аукцион (Reverse Auction)1. Свое название он получил ввиду того, что в данном аукционе роли покупателя и продавца поменяны местами, и его целью является снижение цены покупки. В обычном аукционе (также известном как прямой аукцион (Forward Auction) покупатели соревнуются за право покупки товара или услуги. В обратном аукционе продавцы соревнуются за право получения заказа.
Инструментами электронного снабжения при подготовке аукционных торгов являются так называемые RFx (Request for) – документы, которые специфицируют дату и порядок подачи предложений поставщиками, перечень и формат требуемой информации и т.п. В зависимости от типа запроса документы могут принимать вид запроса о предложении RFP (Request for Pro-posal), запроса о цене RFQ (Request for Quotes) или запроса об информации RFI (Request for Information).
В случае необходимости получения дополнительной информации об одном или нескольких продуктах поставщика (вне зависимости от их наличия в электронном каталоге), компания-покупатель направляет RFI. Этот документ содержит имя и описание продукта в свободном текстовом формате или с помощью прикрепляемого файла. В зависимости от получаемой информации поставщик принимает решение о приглашении поставщика к электронным торгам.
RFP направляется в случае отсутствия определенного продукта (или некоторых его параметров) в электронном каталоге. RFP составляется в свободном текстовом формате или с помощью прикрепляемого файла в любом формате, часто в PDF (Portable Document Format), в виде чертежа или текстового документа. RFP отображает спецификациии условия покупателя и при необходимости может включать:
- описание продукции, которая отсутствует в электронном каталоге, поэтому может быть произведена в индивидуальном порядке;
- указание группы продукции вне зависимости от наличия ее отдельных элементов в электронном каталоге;
- условия технического обслуживания, ремонта и эксплуатации;
- перечисление сопутствующих услуг и т.п.
Покупатель отправляет RFQ в процессе инициации электронных торгов. В данном случае и продукт, и его параметры заранее известны. Поставщик отвечает предложением своей цены, и такое взаимодействие происходит неоднократно до момента закрытия аукциона (которым считается предложение наименьшей цены, которая не перекрывается в течение заранее оговоренного времени).
Наиболее очевидным критерием определения победителя в обратном аукционе является цена закупки. Однако покупатель может определить дополнительные критерии оценки, такие как качество продукции, время выполнения заказа, надежность поставщика и т.п.1. Иными словами, победителем обратного аукциона не обязательно становится поставщик, предложивший наименьшую цену. Так, покупатель может заключить контракт со своим постоянным поставщиком, предложившим не самую низкую цену, поскольку стоимость перехода к новому поставщику может оказаться выше, чем потенциальные выгоды от взаимодействия с новым поставщиком. Далее, дополнительными условиями выбора победителя аукциона могут стать выдающиеся успехи в природоохранных мероприятиях, использовании труда инвалидов и т.д.
Для поддержки принятия решения о выборе поставщика на основе множественных критериев предлагается систематизировать информацию о поставщиках с помощью специальной библиотеки данных2. Такое хранилище данных должно представлять собой всеобъемлющий электронный каталог, содержащий как технические спецификации всех закупаемых на предприятии компонентов, так и список всех поставщиков, способных поставить эти компоненты, историю взаимоотношений с ними, хронологию покупок и использования каждого компонента и т.п. Иными словами, хранилище данных является динамической системой, способной аккумулировать исторические и текущие данные.
Использование библиотеки данных для хранения информации позволит, с одной стороны, интегрировать записи обо всех трансакциях и потоках компании, во-вторых, подготовить базу для многокритериального выбора поставщика по результатам обратного аукциона.
Для ситуаций низкой важности риска предлагается снабжение предприятий с помощью электронных рынков. Так, в ситуации «устранения посредничества» могут использоваться электронные рынки, ориентированные на непосредственное взаимодействие поставщиков и покупателей и минимизацию цены покупки.
Для ситуации «возобновления посредничества» предлагается работа на электронных рынках, которые становятся гарантами надежности своих участников и ориентированы на установление и поддержание тесных взаимоотношений между бизнес-партнерами.
Результаты исследования сведены в таблицу 3.
Таблица 3. Инструменты электронного снабжения
низкая
Вероятность риска
Низкая
высокая
Вероятность риска
высокая
Контролируемая диверсификация
- supplier-hosted каталог;
- third-party-hosted каталог (в части один-ко-многим или многие-к-одному);
- обратный аукцион.
Развитие взаимоотношения
- buyer-hosted каталог;
- supplier-hosted (punch-out/roundtrip) каталог;
- third-party-hosted каталог (в части «один-ко-
многим» или «многие-к-одному»).
Низкая
Устранение посредничества
- «мгновенные» электронные рынки.
Возобновление посредничества
- электронные рынки, ориентированные на установление и поддержание тесных взаимоотношений между бизнес-партнерами.
Таким образом, проведенное исследование позволило идентифицировать инструменты (приложения) электронного снабжения, наиболее релевантные конкретным ситуациям электронного снабжения.
Глава 2. Защита электронного обмена
2.1. Классы защитных средств
Ранее было всего два класса защитных средств, устанавливаемых на периметре, – МСЭ) и системы обнаружения вторжений (IDS). МСЭ пропускали трафик через себя, но не читали данные, фокусируясь только на заголовке IP-пакета. Системы IDS, напротив, анализировали то, что упускалось из виду межсетевыми экранами, но не были способны блокировать атаки, так как трафик через них не проходил. Поэтому на стыке двух технологий родился новый класс защитных средств – системы предотвращения вторжений IPS1.
Рассмотрим основные черты системы IPS. IPS функционирует в режиме in-line (встроенный в сеть), т.е. пропускает трафик через себя, не снижая его скорости. Также система IPS обеспечивает сборку пакетов в правильном порядке, анализирую их на предмет безопасности. Для этого IPS использует различные методы: поведенческий (функция кода), сигнатурный (вычисление параметров – сигнатур), идентификация аномалий в протоколах. Кроме этого, IPS блокирует вредоносный трафик, но не посредством команды reset (сброс).
Есть еще одно направление защитных средств – антивирусы. Антивирус – это программа, которая выполняет поиск и удаление известных компьютерных вирусов, макровирусов и других вредоносных программ на дисках и в памяти компьютера, а также позволяет отследить появление принципиально новых вредоносных программ. По принципу действия они схожи с системой IPS2.
Следующий шаг развития средств защиты – новый тип IPS, ориентированных, как и задумывалось сначала на предотвращение атак. Пионерами продукта были компании OneSecure, IntruShield, Network ICE и Tipping Point1.
Чаще всего пробелы в системе безопасности обусловлены организационным аспектом. Пользователи не соблюдают основных правил информационной безопасности.
В настоящее время любой шаг в ЭВМ требует ввода пароля. Пароли бывают нескольких видов.
Первый вид наиболее распространен. Это набор символов, используемых для многоразовой аутентификации2.
В любом случае не следует использовать простые и распространенные пароли «Вася», «qwerty» «55555» и другие. Анекдотичным стал случай аудита информационной безопасности, заказанным одной из фирм у сторонних специалистов. Специалистам удалось заразить компьютерную сеть фирмы, просто разбросав вокруг ее здания флеш-карты. Что сделает человек, найдя на улице флеш-карту? Подключит ее к компьютеру, чтобы проверить содержимое. Во втором случае, аудиторы предложили сотрудникам организации заполнить анкеты, где одним из вопросов звучал: «Вы помните свой пароль входа в корпоративную сеть и можете его написать?» 80 % сотрудников сообщили свой пароль проверяющим3.
Хотя и усложненные пароли, состоящие из различных символов, букв и цифр подбираются с помощью брутфорсера. Существует выражение: «Нет такого шифра, который бы не взял брутфорс (грубая сила)». В таком случае обычно применяется капча (captcha) или ограничение на ввод пароля4.
Систему одноразовых паролей широко используют Европейские банки. Система заключается в том, что клиенту такого банка выдается карточка например, на 150 паролей, покрытых защитным слоем краски. При входе в систему пользователь стирает защитный слой на очередной полоске и вводит пароль. При выходе из системы пароль становится недействительным.
Есть и другой способ использования этой системы. На мобильный телефон пользователя приходит сообщение от банка, в котором лежит ссылка на WAP страницу. На этой странице находится пароль. Через некоторое время (не более 2 минут) после входа на нее, страница самоликвидируется.
Минусы: пользователь может потерять карточку или ее украдут. Также при втором способе использования этой системы человек может не успеть ввести пароль, прежде чем страница удалится. Кроме того, такая система более сложная, чем обычная.
В настоящее время биометрические пароли признаны ненадежными. Эту защиту можно преодолеть, например, при помощи слепка пальца. По признаниям специалистов систему можно взломать в 75 % случаях1.
Алгоритмы распознавания по лицу дают до 10 % сбоев2.
Достоинство системы смарткарт заключается в том, что она не связана с запоминанием пароля. Надо просто провести карточкой по специальному устройству, встроенному в компьютер, чтобы выполнить вход. Также надо заметить, что при такой авторизации исключаются возможности хакера подслушать звуки, издаваемые кнопками клавиатуры, и перехватить нажатия на клавиатуру. Недостатки: карточку, как и в случае с одноразовыми паролями, можно потерять, или ее украдут.
Бессознательный пароль разработан израильскими учеными и заключается в том, что человек не может вспомнить пароль когда захочет. Суть ее состоит в следующем. Пользователю показывают ряд картинок, псевдослов и т.д. Если ему показать несколько картинок, то пользователь вспомнит нужную1.
Для того чтобы снизить вероятность угадывания пароля злоумышленником система была усложнена. При авторизации пользователю предлагается совокупность 100-200 картинок, разбитых на группы. Из каждой группы надо выбрать знакомую картинку. Недостатком данного вида пароля является усложнение процесса авторизации пользователя2.
При авторизации в системе пользователь выбирает любую картинку из предложенных компьютером или загружает свою. Главный критерий выбора картинки – разнообразие и множество предметов на ней. Дальше пользователю предлагается выбрать любые 4 точки, которые он легко запомнит, и отметить их на рисунке. При входе в систему высвечивается та же картинка, и человеку надо нажать те самые 4 точки, которые он загадал. Такой пароль очень сложен для взлома, поскольку комбинаций для выбора 4 точек из множества пикселей задача не из легких, и в то же время прост для запоминания.
Второй тип графического пароля действует следующим образом. При авторизации пользователю предлагается запомнить 10 любых иконок из 300-400. При входе в систему на экране появляется картинка, на которой изображено большое количество различных иконок, из которых 3 или 4 выбраны. Необходимо представить фигуру (треугольник или четырехугольник), которую образуют эти иконки, и нажать любой значок внутри нее.
Для защиты от компьютерных вирусов и других вредоносных программ необходимо применение ряда мер: исключение несанкционированного доступа к исполняемым файлам, тестирование приобретаемых программных средств, контроль целостности исполняемых файлов и системных областей, создание замкнутой среды исполнения программ1.
Подведем итоги. Основными принципами – метауровнем – защиты информации являются: авторизация, адекватная защита информации, предотвращение потери данных, обнаружение нарушенной защиты, использование резервного копирования, принцип избыточной защиты в узловых (нерабочих) точках. Только при выполнении всех перечисленных правил, система будет достаточно защищена. Если пропустить хотя бы один пункт, ослабится защита всей системы. Не существует такого пароля, который нельзя взломать. Но есть пароли, который очень тяжело взломать.
Системы электронного документооборота в силу своих технических возможностей обеспечивают высокий уровень защиты информации без привлечения дополнительных ресурсов: дополнительных помещений, сейфов и шкафов для хранения документов, времени сотрудников, затраченного на поиск и копирование документов, расходных материалов для тиражирования.
Общими методами защиты электронных документов и документов на бумажном носителе являются организационные. Естественно, в автоматизированных системах настроить права пользователя проще, чем в традиционном документообороте. Это и обосновывает переход к электронному документообороту. В государственных органах в настоящее время внедряется электронное правительство.
Кроме того, можно наблюдать переход традиционных элементов документа на новый уровень развития. В пример можно привести электронную подпись.
2.2 Способы защиты электронных документов
На сегодняшний день актуальным является вопрос придания электронному документу юридической силы наравне с документом на бумажном носителе. Для этого необходимо быть уверенным в подлинности содержащихся в электронном документе сведений. Следовательно, необходимо обеспечить защиту электронного документа и информационных систем.