Аспекты безопасности электронного бизнеса

Введение 3
Глоссарий 5
1. Основные понятия электронного бизнеса 6
1.1. Классификация типов электронного бизнеса 8
1.2. Модели электронного бизнеса 10
2. Безопасность электронного бизнеса 13
2.1. Современные угрозы для электронного бизнеса 14
2.2. Классификация технологий защиты моделей электронного бизнеса 18
2.3. Традиционные способы защиты 19
2.4. Решение от НР 20
2.4.1. НР Virtual Vault security 22
2.4.2. НР Web Enforcer 23
3. Повышения безопасности электронного бизнеса 25
Заключение 27
Список литературы 29

Глоссарий
Электронный бизнес – это любая деловая активность, использующая возможности глобальных информационных сетей для преобразования внутренних и внешних связей с целью создания прибыли.
Информационная технология — это процесс, использующий совокупность средств и методов сбора, обработки и передачи данных для получения информации нового качества о состоянии объекта, процесса или явления.
Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.
Защита информации  — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Источник угрозы безопасности информации — субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
...

1. Основные понятия электронного бизнеса
Особенностью современных рынков является то, что ситуация на них может стремительно изменяться в короткие промежутки времени, что требует быстрой реакции и выработки новых подходов к ведению бизнеса. Чтобы сохранять в таких сложных условиях лидирующие позиции, нужно постоянно изменять и адаптировать управленческую структуру организации, а также изучать и осваивать все перспективные методики бизнеса. Использование электронных средств коммуникаций становится одним из ключевых условий для выживания компаний в условиях жесткой конкуренции.
Развитие информационных технологий привело к изменению способов ведения бизнеса.
...

1.1. Классификация типов электронного бизнеса
По типу взаимодействующих субъектов электронный бизнес можно разделить на следующие основные категории:
• бизнес - бизнес (business-to-business, B2B);
• бизнес - потребитель (business-to-consumer, B2C);
• потребитель - потребитель (consumer-to-consumer, С2С);
• госуправление - граждане (government-to-citizens, G2C).
Направление В2В — наиболее популярное и развитое на сегодняшний день. Оно включает в себя все уровни взаимодействия между компаниями, основой которых могут служить специальные технологии или стандарты электронного обмена данными, например, такие как EDI (Electronic Data Interchange) или системы на базе языка разметки документов XML (eXtensible Markup Language)
В2С — бизнес, ориентированный на конечного потребителя. Основу этого направления составляет электронная розничная торговля.
...

1.2. Модели электронного бизнеса
Что касается классификации моделей электронного бизнеса, то в целом их принято делить на две основные группы (Рисунок 1):
• Модели поддержки существующего бизнеса;
• Модели создания нового бизнеса в Интернет.

Рисунок 1 - Модели бизнеса в Интернет
Модели поддержки существующего бизнеса основаны на использовании сети Интернет для поддержки или расширения существующего бизнеса. К этой группе относятся следующие модели:
• построение сети Интранет, т.е.
...

2.1. Современные угрозы для электронного бизнеса
Всемирная сеть Интернет охватила все отрасли деятельности человека. Огромными темпами развивается сектор бизнес-услуг, предоставляемых посредством Интернета. Среди развивающихся направлений важную роль играют системы Интернет-торговли Business to Consumer. Этот сектор бизнеса связан с предоставлением услуг или продукции конечному потребителю. Основной тип данных систем – электронный магазин – автоматизированная система электронной торговли в сети Интернет.
Система электронной торговли представляет собой характерный пример распределенной вычислительной системы. В ней несколько клиентов работают с одним сервером, реже с несколькими серверами. Таким образом, электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям.
...

2.2. Классификация технологий защиты моделей электронного бизнеса
Все перечисленные ранее угрозы не страшны, если против них существуют действенные средства защиты. Все средства защиты, имеющиеся у любой информационной системы можно классифицировать следующим образом:
1 и 2-й уровни (нижние) защиты – уровень операционной системы и уровень сети. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры - ОС M S Windows NT, Sun Solaris, Novell Netware.
Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примеры - протоколы TCP/IP, IPS/SPX и SMB/NetBIOS.
Эти уровни важны особенно. Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ.
...

2.3. Традиционные способы защиты
Традиционный подход позволяет защитить корпоративную ИТ-инфраструктуру от внешних вторжений из Internet, но оставляет ее почти открытой для вторжений «изнутри». Например, такие известные способы вторжений, как Ping of Death, Smurf attack и UDP flood attack могут быть отбиты с помощью фильтрации межсетевым экраном определенных пакетов во входящем трафике. Однако если источник тех же самых вторжений находится во внутрикорпоративной сети, межсетевые экраны окажутся не в состоянии защитить ИТ-ресурсы предприятия.
Вовлечение предприятий в мир электронного бизнеса требует коренного изменения роли ИТ-служб, которые становятся производственным подразделением, либо приносящим прибыль, либо непосредственно на нее влияющим. Создание Web-сайта — своеобразного представительства предприятия в Internet — является лишь первым шагом.
...

2.4. Решение от НР
Комплексное решение, обеспечивающее электронную безопасность может быть построено на базе семейства программных продуктов Netaction компании Hewlett-Packard. В состав Netaction входят системы Virtual Vault, Webproxy, Webenforcer, e-firewall, Extranet VPN, PKI, Domainguard и IDS 9000, которые в совокупности позволяют решать весь спектр задач обеспечения безопасности, используя для этого весь доступный арсенал: традиционные виртуальные частные сети, межсетевые экраны, инфраструктуры открытых ключей, средства защита Web-серверов и Web-приложений. Семейство продуктов НР Netaction дает возможность реализовать единую политику безопасности, соответствующую потребностям бизнеса и сводящую к разумному минимуму риск внешних и внутренних вторжений [8].
Cемейство HP Netaction нацелено на разработку, интеграцию и развертывание новых видов активности в Internet: электронной коммерции, электронного бизнеса и электронных услуг.
...

2.4.1. НР Virtual Vault security
Virtual Vault security предоставляет безопасную среду для выполнения IFE-приложений, которая реализует философию защиты, нацеленную на минимизацию степени риска успешной атаки на IFE-сервер за счет изоляции среды исполнения каждого IFE-приложения для уменьшения возможного ущерба. VirtualVault security минимизирует возможности, которые может приобрести взломщик, получив контроль над приложением: в системе отсутствует «суперпользователь», предусмотрены инструменты обнаружения нарушения целостности системы, средства извещения администратора и восстановления известной правильной конфигурации. Возможно администрирование продукта через Web-консоль, что снижает вероятность ошибок конфигурирования, создающих прорехи в защите программного решения.
HP Virtual Vault security включает в себя следующие компоненты:
• VVOS 11.
...

2.4.2. НР Web Enforcer
Сегодня достаточно популярны Web-серверы Microsoft, работающие на платформах Windows NT/Windows 2000. Это связано с распространением данной платформы, а также с кажущейся простотой развертывания и обслуживания подобных решений. В то же время статистика свидетельствует, что наибольшее число взломов приходится именно на эту платформу (см., например, www.attrition.org/mir-ror/attrition/os-graphs.html); поэтому эффективные средства защиты Web-серверов на этой платформе особенно актуальны. Эту задачу решает программный продукт HP Web Enforcer, который может применяться, например, на отдельных Web-серверах, размещенных в демилитаризованной зоне.
Web Enforcer представляет собой комплексную систему защиты Web-сервера и обеспечивает целостность Windows NT и ее компонентов. Во время своей установки продукт производит анализ системы и, в зависимости от выбранного уровня обеспечения безопасности, выполняет необходимые настройки.
...

3. Повышения безопасности электронного бизнеса
Несмотря на усложнение применяемых в коммерции технологий и повышения образовательного уровня и технических возможностей девиантных субъектов, свести к минимуму риск возникновения деструктивных последствий рисковых ситуаций можно. Нужно лишь здраво подходить к любому новому начинанию, стараться почерпнуть как можно больше информации по теме вопроса и всегда быть внимательным, когда дело касается любых финансовых операций.
Несмотря на завершение первого этапа ГЦП "Электронная Россия", создается впечатление, что никто целенаправленно и на современном научном уровне не занимается проблемой комплексной регламентации процесса электронной торговли как отдельного вида деятельности. Во-первых, для нормального функционирования электронного бизнеса необходимо законодательное регулирование.
...

Заключение
Несомненно, электронный бизнес при грамотном вложении денег в его развитие может принести большие прибыли компаниям, решившим использовать его наравне с обычным бизнесом. Электронный бизнес открывает массу новых возможностей для компании, а одним из главных достоинств является скорость осуществления большинства операций связанных с ним.
В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронного бизнеса, которые включают:
• защиту информации при ее передаче по каналам связи;
• защиту компьютерных систем, баз данных и электронного документооборота;
• обеспечение долгосрочного хранения информации в электронном виде;
• обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.
В целом, первое, что следует сделать компании - это разобраться, что и от кого должно быть защищено.
...