معلومات

أمن التجارة الإلكترونية

أمن التجارة الإلكترونية

الأمان - حالة الحماية من الضرر المحتمل ، والقدرة على احتواء التأثيرات الخطيرة أو تحملها ، وكذلك التعويض السريع عن الضرر الناتج. الأمن يعني أن النظام يحافظ على الاستقرار والاستقرار وإمكانية التطوير الذاتي. يعد أمان التجارة الإلكترونية أحد المواضيع الأكثر شيوعًا للمناقشة.

ولكن حتى الآن ، على الرغم من جميع الآراء والبيانات القيمة ، لا يوجد دليل عملي "أرضي" لما يزال موضوع أمن التجارة الإلكترونية. تقدم هذه المقالة بعض وجهات النظر حول هذه القضية ، وتحاول فصل الأساطير عن الواقع. دعونا نحاول الإجابة عن بعض الأسئلة الأساسية الواضحة للخبراء.

يمكن جعل الأنظمة آمنة. لا يمكن حماية الأنظمة إلا من التهديدات المعروفة ، مع تقليل عدد المخاطر المرتبطة بها إلى مستوى مقبول. أنت فقط تستطيع إيجاد التوازن الصحيح بين المستوى المطلوب للحد من المخاطر وتكلفة الحل. الأمن بشكل عام هو أحد جوانب إدارة المخاطر. وأمن المعلومات هو مزيج من الحس السليم وإدارة مخاطر الأعمال والمهارات التقنية الأساسية تحت سيطرة الإدارة اللائقة والاستخدام الحكيم للمنتجات والقدرات والخبرات المتخصصة وتقنيات التطوير الصحيحة. في الوقت نفسه ، يعد موقع الويب مجرد وسيلة لإيصال المعلومات إلى المستهلك.

أمن الموقع هو مشكلة فنية بحتة. في كثير من الأحيان ، يكون الأمان أكثر من التحكم في عملية التطوير ، وإدارة تكوين نظام التشغيل المناسبة ، وإدارة الموقع المتسقة بشكل عام. الأمان الحقيقي تحت سيطرتك المباشرة - ما هو مقبول في تطوير الأنظمة الداخلية قد لا يكون مناسبًا للخدمات التي تتم مشاركتها بالكامل. تظهر مشاكل النظام التي تؤثر على عدد قليل فقط من الموظفين الموثوق بهم داخل المؤسسة عند الانتقال إلى البيئات المشتركة.

تقدم وسائل الإعلام تقارير منتظمة عن جميع نقاط الضعف والمخاطر الأمنية. غالبًا ما تقدم وسائل الإعلام تقارير فقط عن تلك المشاكل التي يمكن أن تجذب انتباه الجميع ولا تتطلب مهارات خاصة لفهم المشكلة الأساسية. نادرًا ما تعكس هذه الرسائل التهديدات الحقيقية للأعمال من وجهة نظر أمنية ، وغالبًا ما لا علاقة لها بالأمان على الإطلاق.

معلومات بطاقة الائتمان على الإنترنت ليست آمنة. في الواقع ، معلومات بطاقة الائتمان أقل عرضة للسرقة عند إرسالها عبر الإنترنت من متجر أو مطعم قريب. قد يهتم نشاط تجاري عديمي الضمير بالاستخدام غير المصرح به لمثل هذه المعلومات ، وكيف لم تعد تتعامل معها - عبر الإنترنت أو لا - لم تعد مهمة للغاية. من الممكن زيادة أمن المعلومات المرسلة الفعلية باستخدام قنوات إرسال آمنة ومواقع موثوقة. إن أحد المكونات الأساسية في العديد من أنظمة التجارة الإلكترونية هو الحاجة إلى تحديد موثوق به للمستهلك. لا تؤثر طريقة تحديد الهوية بشكل مباشر على درجة الخطر فحسب ، بل حتى على نوع الملاحقة الجنائية.

تحدد كلمات المرور الأشخاص. توفر كلمات المرور التحقق الأساسي فقط - أن الشخص المصرح له باستخدام نظام معين متصل. يميل الناس إلى عدم إخفاء كلمات المرور الخاصة بهم كثيرًا عن الآخرين - خاصةً من الأقارب والزملاء المقربين. يمكن أن تكون تقنية المصادقة الأكثر تعقيدًا أكثر فعالية من حيث التكلفة. يجب أن يعكس مستوى المصادقة المستخدم خطر الوصول إلى المعلومات من قبل أشخاص عشوائيين ، بغض النظر عن موافقة مالكها الفعلي.

بمجرد تكوينه وتثبيته ، يظل الحل الأمني ​​موثوقًا به بمرور الوقت. لا تقوم الشركات دائمًا بتثبيت الأنظمة كما هو متوقع ، وتغييرات الأعمال ، وكذلك التهديدات. تحتاج إلى التأكد من أن الأنظمة تحتفظ بملفات تعريف الأمان وأن ملفك الشخصي يتم إعادة تقييمه باستمرار من حيث تطوير الأعمال والبيئة. التكنولوجيا مهمة بنفس القدر ، ولكن يجب اعتبارها جزءًا من مجموعة أوسع من الضوابط الأمنية. يُشار عادةً إلى جدران الحماية كحل لحماية محتوى مواقع التجارة الإلكترونية ، ولكن حتى نقاط ضعفها هذه.

لا يمكن اختراق جدران الحماية. من خلال تنفيذ جدار حماية ، يمكنك أن ترتاح على أمجادك لضمان عدم اختراق المهاجمين لها. تكمن المشكلة في أنها تحتاج إلى تكوين بحيث لا تزال بعض حركة المرور تتدفق من خلالها ، وفي كلا الاتجاهين. تحتاج إلى النظر بعناية في ما تحاول حمايته. يختلف منع هجوم على الصفحة الرئيسية لموقعك اختلافًا كبيرًا عن منع استخدام خادم الويب الخاص بك كمسار لأنظمة الخادم الخاصة بك ، ومتطلبات جدار الحماية مختلفة تمامًا في كلتا الحالتين. تتطلب العديد من الأنظمة أمانًا متطورًا متعدد الطبقات لضمان عدم إمكانية الوصول إلى البيانات الحساسة إلا للمستخدمين المصرح لهم. عادةً ما يكون البريد الإلكتروني هو المفتاح لأي موقع للتجارة الإلكترونية. ومع ذلك ، فإنه يجلب معه عددًا من التحديات الأمنية التي لا يمكن تجاهلها ، والتي تقع في فئتين رئيسيتين:
حماية محتوى البريد الإلكتروني - يمكن تشويهه أو قراءته.
حماية نظامك من هجمات البريد الإلكتروني الواردة.
إذا كنت تنوي العمل بسرية أو حساسة لسلامة معلومات البريد ، فهناك العديد من المنتجات لحمايتها.

لم تعد الفيروسات مشكلة. لا تزال الفيروسات تشكل تهديدًا خطيرًا. أحدث هواية من منشئي الفيروسات هي الملفات المرفقة برسائل ، عند فتحها ، وتنفيذ وحدات الماكرو وتنفيذ إجراءات غير مصرح بها من قبل المستلم. ولكن هناك وسائل أخرى لنشر الفيروسات يتم تطويرها أيضًا - على سبيل المثال ، من خلال صفحات الويب بتنسيق HTML. تأكد من أن منتجات مكافحة الفيروسات الخاصة بك محدثة. إذا كانت مصممة للفحص بحثًا عن الفيروسات ، فقد تكون قادرة على اكتشاف الفيروسات فقط وليس التخلص منها.

الشركة التي لديها شهادة مفتاح عام من هيئة تصديق مرموقة (CA) جديرة بالثقة بالفعل في حد ذاتها. تشير الشهادة ببساطة إلى شيء من هذا القبيل: "في وقت طلب الشهادة ، قمت أنا ، المرجع المصدق ، بتنفيذ إجراءات معروفة للتحقق من هوية هذه الشركة. قد تكون راضيًا أو غير راضٍ. لست على دراية بهذه الشركة ولا أعرف ما إذا كان يمكنك الوثوق بها ، وحتى - ما هو بالضبط عملها - حتى يتم إعلامي بأن المفتاح العام قد فقد مصداقيته ، حتى أنني لا أعلم أنه ، على سبيل المثال ، سُرق أو نُقل إلى شخص آخر ، والأمر متروك لك للتحقق ، وليس تم إلغاء. تقتصر مسؤوليتي على أحكام بيان السياسة ، التي يجب عليك قراءتها قبل استخدام المفاتيح المرتبطة بهذه الشركة. "

التوقيعات الرقمية هي المكافئ الإلكتروني للتوقيعات المكتوبة بخط اليد. هناك بعض أوجه التشابه ، ولكن هناك العديد من الاختلافات المهمة جدًا ، لذلك من غير المعقول اعتبار هذين النوعين من التواقيع متكافئين. تعتمد موثوقيتها أيضًا على مدى الدقة الصارمة في أن المفتاح الخاص في الواقع قيد الاستخدام الفردي. الاختلافات الرئيسية هي أيضًا:
- تخضع التوقيعات المكتوبة بخط اليد تمامًا لتحكم الموقِّع ، في حين يتم إنشاء التوقيعات الرقمية باستخدام كمبيوتر وبرمجيات قد تعمل أو لا تعمل بطريقة يمكن الوثوق بها لأدائها.
- التوقيعات المكتوبة بخط اليد ، بخلاف التوقيعات الرقمية ، لها أصل يمكن نسخه.
- التوقيعات المكتوبة بخط اليد لا ترتبط ارتباطًا وثيقًا بما تم التوقيع عليه من قبلهم ، يمكن تغيير محتوى الأوراق الموقعة بعد التوقيع. ترتبط التوقيعات الرقمية ارتباطًا معقدًا بالمحتوى المحدد للبيانات التي وقعتها.
- لا يمكن أن تكون القدرة على تنفيذ توقيع مكتوب بخط اليد موضوعًا للسرقة ، بخلاف المفتاح الخاص.
- يمكن نسخ التوقيعات المكتوبة بخط اليد بدرجات متماثلة من التشابه ، بينما لا يمكن إنشاء نسخ من التوقيعات الرقمية إلا باستخدام المفاتيح المسروقة ولها هوية 100٪ لتوقيع المالك الحقيقي للمفتاح.
- تتطلب بعض بروتوكولات المصادقة توقيع البيانات رقميًا بالنيابة عنك ، ولا تعرف أبدًا ما تم التوقيع عليه. قد تضطر إلى التوقيع رقميا على أي شيء.

يمكن تصنيف منتجات الأمان وفقًا لوظائفها ، تمامًا مثل مجموعات الأعمال. كما تتطلب أيضًا تقييمًا لأمان تنفيذها والتهديدات التي لا يمكنهم حمايتها (والتي قد لا يتم توثيقها). بشكل عام ، يتم اختيار تطبيقات الأعمال بناءً على وظائفها وسهولة استخدامها. غالبًا ما يؤخذ على أنه من المسلم به أن يتم تنفيذ الوظائف كما هو متوقع (على سبيل المثال ، تحسب حزمة حساب الضرائب الضرائب بشكل صحيح). لكن هذا ليس عادلاً بالنسبة للمنتجات الأمنية. السؤال الأكبر هنا هو كيف يتم تنفيذ وظائف الحماية. على سبيل المثال ، قد تقدم الحزمة مصادقة قوية لكلمات المرور للمستخدمين ، ولكنها لا تزال تخزن كلمات المرور في ملف نص عادي يمكن لأي شخص تقريبًا قراءته. وهذا سيكون أبعد ما يكون عن الوضوح ويمكن أن يخلق شعورا زائفا بالأمن.

منتجات الأمان سهلة التثبيت. يتم شحن معظم المنتجات مع الإعدادات الافتراضية. ومع ذلك ، فإن المؤسسات لديها سياسات أمنية وتكوينات مختلفة لجميع الأنظمة ومحطات العمل نادرًا ما تتطابق. من الناحية العملية ، يجب أن يكون التثبيت مصممًا وفقًا لسياسة أمان المؤسسة وكل تكوينات النظام الأساسي المحددة. يمكن أن تكون عملية التحقق من آليات الصيانة للأعداد المتزايدة من المستخدمين والسمات الأخرى لإنشاء بيئة آمنة لمئات المستخدمين الحاليين عملية معقدة وتستغرق وقتًا طويلاً.

تحمي منتجات PKI التجارة الإلكترونية من خارج الصندوق. منتجات PKI هي مجموعة أدوات أساسية للمساعدة في تنفيذ الحلول الأمنية ، ولكن فقط كجزء من الحزمة بأكملها ، والتي تتضمن أيضًا عناصر قانونية وإجرائية وعناصر فنية أخرى. من الناحية العملية ، غالبًا ما يكون هذا أكثر صعوبة وتكلفة من تثبيت البنية التحتية للمفاتيح العامة الأساسية.

يستحق المستشارون الأمنيون الثقة المطلقة. تذكر أن مستشاري الأمان سوف يتمكنون من الوصول إلى جميع العمليات والبيانات الأكثر حساسية. إذا لم يعمل المستشارون المعينون لدى شركة ذات سمعة جيدة ، فمن الضروري الحصول على معلومات من مصدر غير مهتم حول كفاءتهم وخبرتهم - على سبيل المثال ، التحدث إلى عملائهم السابقين. هناك العديد من المستشارين الذين يدعون أنهم متخصصون في أمن المعلومات ، ولكن في الواقع ليس لديهم أي فكرة عما هو عليه. يمكنهم أيضًا إنشاء شعور زائف بالأمان من خلال إقناعك بأن أنظمتك أكثر أمانًا مما هي عليه في الواقع.

الاستنتاجات.

لذا قبل تصفح أحدث كتيبات السلامة ، قم بفرز الأساسيات:
- احسب بعناية أنواع المخاطر التي تهدد أعمال التجارة الإلكترونية الخاصة بك وكم ستكلفك ، ولا تنفق على الحماية أكثر من هذه التكلفة المقدرة للمخاطر.
- تحقيق التوازن بين الضوابط الأمنية الإجرائية والفنية.
- وضع مشروع كامل تكون فيه السلامة أحد المكونات الأساسية ، ولن يتم إدخاله بعد حدوثه بعد بعض المداولات.
- اختر المنتجات الأمنية المناسبة لهذا المشروع.


شاهد الفيديو: محاضرة. الأمن الإلكتروني والحرب الإلكترونية. ما يحتاج الجميع إلى معرفته (شهر اكتوبر 2021).