Электронная торговля
При бурном развитии Internet наиболее распространенной формой электронной торговли стала покупка и продажа товаров через Internet. Однако, задумывался ли читатель о правилах и практических шагах, которые необходимы для обеспечения безопасности систем электронной торговли? Проблема многих организаций состоит в том, что, желая как можно быстрее установить узел электронной торговли, они не включают в свою стратегию вопросы обеспечения безопасности этих процессов. Поэтому правила и технология могут не соответствовать планам электронной торговли.
Электронная торговля до Internet
До Internet в бизнесе проводились поиски способов автоматизации закупки товаров и услуг. Раньше такие службы, как CompuServe, предлагали потребителям способы проведения торговых операций в онлайновом режиме, поскольку для заключения соглашений и сделок был создан электронный обмен данными (EDI – electronic data interchange). Несмотря на существование и этих и других форм электронной торговли, мы будем концентрировать свое внимание на тех формах, которые используются в настоящее время в Internet. Их можно применить также в качестве образца при разработке правил для других форм электронной торговли.
Сведения о проблемах регулярно документируются в серийно выпускаемых изданиях. Истории о похищении кредитных карточек, переводе денег на офшорные счета или даже похищение товаров и услуг являются всего лишь частью проблем. Руководство организации может прочитать эти истории и ужаснуться: а сможет ли оно справиться с этими проблемами!
В последнее время, когда пришлось помочь одной организации в разработке правил электронной торговли, мы приняли решение, что наилучшим подходом будет создание отдельного документа правил и руководств. У этой организации были те же проблемы, что и у других: они усиленно инициировали введение электронной торговли и игнорировали необходимые меры защиты. Фактически, в то время, пока мы разрабатывали эти правила, группа разработчиков системы электронной торговли руководствовалась правилами, в которых предлагалось разработать план модернизации их служб, чтобы привести их в соответствие с требованиями безопасности, записанными в старых правилах.
Независимо от выбранного подхода к правилам электронной торговли существует несколько принципов, которые необходимо рассмотреть.
- Хранение данных. Это касается не только того, где хранить информацию о кредитной карточке, но и где держать каталог, ценники и другую важную информацию. Можно ли размещать ее позади брандмауэра? Можно ли разместить ее в защищенной системе? Можно ли получать доступ к этой информации через защищенные (зашифрованные) каналы? До разработки правил необходимо ответить на все указанные вопросы.
- Идентификация и аутентификация. Для каждого приложения электронной торговли существует отдельный метод идентификации пользователя и его полномочий по использованию приложения. Предпочтительней рассматривать, какие методы более всего соответствуют технологической модели вашей организации, а не лучшим известным образцам технологии.
- Защита пересылки данных. Обычно защита сделок в электронной торговле подразумевает установку мощного Web-узла или коммуникаций, базирующихся на протоколе безопасных соединений (SSL – Secure Sockets Layer). Если вы придерживаетесь такой идеи, то стоит ли использовать системы строгого шифрования или все же позволить узлу подключаться к браузерам, которые понимают шифрование, называемое "экспорт силы" ("export strength"), которое не такое уж строгое? Собирается ли организация приобретать собственный цифровой сертификат? Будет ли организация позволять пользователям подключаться к узлу и использовать временные сертификаты, которые подходят для универсальных приложений, или же она будет требовать, чтобы клиент подключался со своим собственным сертификатом?
- Обработка заказа. Где будет происходить обработка заказа? Может быть, на Web-сервере? После брандмауэра? Или на отдельном сервере? А как насчет обработки платежей по кредитной карточке? Будут ли они выполняться через Internet? Или подключение будет проходить через виртуальные частные сети на сервер центра обмена информацией? Решение этих проблем окажет большое влияние на архитектуру серверов электронной торговли.
Если организация при ведении электронной торговли пользуется внешними источниками, то управление узлом будет не столь сложным, как это предлагается выше в списке. Однако, для обеспечения защиты своего сервиса можно работать с провайдером услуг. Необходимо проверить соглашение между организацией и провайдером услуг. В нем должно быть предусмотрено, что вы имеете право проводить аудит этого узла, чтобы убедиться в надлежащей защите сервера, работающего с вашей организацией.