МИНИСТЕРСТВО ОБРАЗОВАНИЯ
И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПЕРМСКИЙ ИНСТИТУТ (ФИЛИАЛ)
Государственного бюджетного образовательного
учреждения высшего профессионального
образования
«Российский государственный
торгово-экономический университет»
Контрольная работа по курсу
«Основы электронной
коммерции»
Вариант №1
Выполнила:
студентка группы Эпи43
учетно-финансового
факультета И.Н.Берг
Проверил:
Галкина Л.С.
Дата проверки _______
Оценка _____________
Подпись ____________
Пермь 2013
Содержание
- Место и роль информационной
безопасности в системе обеспечения безопасности ЭК…………………………………………………………...3
- Система управления контентом
(CMS) ………………………………….7
- Тест………………………………………………………………………...16
- Список литературы……………………………………………………….17
1.Место и роль
информационной безопасности в
системе обеспечения безопасности
ЭК
Интерес к электронной коммерции растет и продолжает расти.
Российские компании стремятся догнать
по объемам продаж зарубежных коллег.
По электронной коммерции проводят семинары
и конференции, пишут статьи и обзоры.
Особое внимание уделяют безопасности и защите электронных транзакций.
Для компаний важно доверие пользователя
к электронным сделкам. Кратко рассмотрим
этапы приобретения продуктов и услуг
через Internet.
Заказчик выбирает продукт
или услугу через сервер электронного магазина и оформляет заказ. Заказ заносится в базу данных
заказов магазина. Проверяется доступность
продукта или услуги через центральную
базу данных. Если продукт не доступен,
то заказчик получает об этом уведомление.
В зависимости от типа магазина, запрос
на продукт может быть перенаправлен на
другой склад. В случае наличия продукта
или услуги заказчик подтверждает оплату
и заказ помещается в базу данных. Электронный магазин посылает заказчику
подтверждение заказа. В большинстве случаев
существует единая база данных для заказов
и проверки наличия товаров. Клиент в режиме
online оплачивает заказ. Товар доставляется
заказчику.
Рассмотрим основные угрозы,
которые подстерегают компанию на всех
этапах [1, с. 30].
1. Подмена страницы Web-сервера электронного магазина. Основной способ реализации
- переадресация запросов пользователя
на другой сервер. Проводится путем замены
записей в таблицах DNS-серверов или в таблицах
маршрутизаторов. Особенно это опасно,
когда заказчик вводит номер своей кредитной
карты.
2. Создание ложных заказов
и мошенничество со стороны
сотрудников электронного магазина. Проникновение в базу
данных и изменение процедур обработки
заказов позволяет незаконно манипулировать
с базой данных. По статистике больше половины
всех компьютерных инцидентов связано
с собственными сотрудниками.
3. Перехват данных, передаваемых
в системе электронной коммерции. Особую опасность представляет
собой перехват информации о кредитной
карте заказчика.
4. Проникновение во внутреннюю
сеть компании и компрометация
компонентов электронного магазина.
5. Реализация атак типа «отказ
в обслуживании» и нарушение функционирования
или выведение из строя узла электронной коммерции.
В результате всех этих угроз
компания теряет доверие клиентов и теряет
деньги от несовершенных сделок. В некоторых
случаях этой компании можно предъявить
иск за раскрытие номеров кредитных карт.
В случае реализации атак типа «отказ
в обслуживании» на восстановление работоспособности
тратятся временные и материальные ресурсы
на замену оборудования. Перехват данных
не зависит от используемого программного
и аппаратного обеспечения. Это связано
с незащищенностью версии протокола IP
(v4). Решение проблемы - использование криптографических
средств или переход на шестую версию
протокола IP. В обоих случаях существуют
свои проблемы. В первом случае применение
криптографии должно быть лицензировано
в соответствующем ведомстве. Во втором
случае возникают организационные проблемы.
Еще возможны несколько угроз. Нарушение
доступности узлов электронной коммерции и неправильная настройка программного
и аппаратного обеспечения электронного магазина.
Все это говорит о необходимости
комплексной защиты. Реально защита часто
ограничивается использованием криптографии
(40-битной версии протокола SSL) для защиты
информации между браузером клиента и
сервером электронного магазина и фильтром на маршрутизаторе.
Комплексная система защиты
должна строиться с учетом четырех уровней
любой информационной системы [2, с. 9].
- Уровень прикладного программного
обеспечения (ПО), отвечающий за взаимодействие
с пользователем. Примером элементов этого
уровня - текстовый редактор WinWord, редактор
электронных таблиц Excel, почтовая программа
Outlook, броузер Internet Explorer.
- Уровень системы управления
базами данных (СУБД), отвечающий за хранение
и обработку данных информационной системы.
Примером элементов этого уровня - СУБД
Oracle, MS SQL Server, Sybase и MS Access.
- Уровень операционной системы
(ОС), отвечающий за обслуживание СУБД
и прикладного программного обеспечения.
Примеры - ОС M S Windows NT, Sun Solaris, Novell Netware.
- Уровень сети, отвечающий за
взаимодействие узлов информационной
системы. Примеры - протоколы TCP/IP, IPS/SPX
и SMB/NetBIOS.
Система защиты должна эффективно
работать на всех уровнях. Иначе злоумышленник
сможет реализовать атаку на ресурсы электронного
магазина. Опасны и внешние и внутренние
атаки. По статистике основная опасность
исходит от внутренних пользователей электронного магазина (операторов системы).
Для получения несанкционированного доступа
к информации о заказах в базе данных есть
следующие возможности. Прочитать записи
БД из MS Query, который позволяет получать
доступ к записям многих СУБД при помощи
механизма ODBC или SQL-запросов.Прочитать
нужные данные средствами самой СУБД (уровень
СУБД). Прочитать файлы базы данных непосредственно
на уровне операционной системы. Отправить
по сети пакеты со сформированными запросами
на получение необходимых данных от СУБД.
Или перехватить эти данные в процессе
их передаче по каналам связи (уровень
сети).
Нужны новые средства и механизмы
защиты. Средствам обнаружения атак в
настоящий момент уделяется много внимания
во всем мире. По прогнозам известных компаний
объемы продаж этих средств до 900 миллионов
долларов в 2003 году. Эти средства с одинаковой
эффективностью функционируют внутри
сети и снаружи, защищая от внешних несанкционированных
воздействий. Эти средства позволяют своевременно
обнаруживать и блокировать сетевые атаки
типа «отказ в обслуживании», направленные
на нарушение работоспособности электронного магазина. Одним из примеров
средств обнаружения атак - система Real
Secure, разработанная компанией Internet Security
Systems, Inc.
Непрерывное развитие сетевых
технологий при отсутствии постоянного
анализа безопасности приводит к тому, что с течением
времени защищенность сети падает. Появляются
новые неучтенные угрозы и уязвимости
системы. Есть понятие - адаптивная безопасность сети. Она позволяет обеспечивать
защиту в реальном режиме времени, адаптируясь
к постоянным изменениям в информационной
инфраструктуре. Состоит из трех основных
элементов - технологии анализа защищенности,
технологии обнаружения атак, технологии
управления рисками. Технологии анализа
защищенности являются действенным методом,
позволяющим проанализировать и реализовать
политику сетевой безопасности. Системы анализа защищенности
проводят поиск уязвимостей, но наращивая
число проверок и исследуя все ее уровни.
Обнаружение атак - оценка подозрительных
действий, которые происходят в корпоративной
сети. Обнаружение атак реализуется посредством
анализа журналов регистрации операционной
системы и прикладного программного обеспечения
и сетевого трафика в реальном времени.
Компоненты обнаружения атак, размещенные
на узлах или сегментах сети, оценивают
различные действия.
2.Системы управления
контентом (CMS)
Аббревиатура CMS расшифровывается
как «Content Management Software» («программное обеспечение
для управления содержимым»). В нашей стране
принято последнюю букву «S» расшифровывать
как «System», а по-русски это обычно звучит
как «Система управления контентом». Английское
слово content означает «нечто, содержащееся
внутри» и применительно к письменным
работам обычно входит в словосочетание
table of contents — содержание, перечень разделов
(скажем, книги). Отличительная черта контента
состоит в том, что он конструируется из
отдельных кусочков -графика, документы
(в том числе отчеты, ведомости и.т.д), звуковые
и видео-файлы. Иногда употребляется более
простое название - "движок сайта".
CMS появились не так
давно. Первой системой принято
считать Vignette, которая появилась
на западе в 1995 году. В нашей
стране решения по управлению
контентом появились значительно
позже.
История управления контентом
началась с управления документами в классическом
понимании этого слова - текстовыми файлами.
По мере развития понятия «документ»,
системы управления документами стали
называть системами управления контентом,
подчёркивая способность таких систем
управлять информацией независимо от
формы ее представления, а также отделить
информацию-контент от документа-формы.
Однако абстрактно управлять информацией
невозможно — она обязательно должна
быть представлена в какой-либо форме.
Пытаясь управлять контентом, мы неизбежно
приходим к управлению документами. Системы
управления контентом, действительно,
«научились» разделять управление документами
(хранение, изменение и т.п.) и их представление
конечному пользователю. Но они все-таки
управляют документами в какой-то форме,
а не информацией.
Необходимость систем управления
для владельцев сайтов начала проявляться
в тот момент, когда количество материалов
на веб-сайтах начало стремительно расти.
Это привело к тому, что традиционные «ручные»
технологии разработки и поддержки сайтов,
когда сайт состоял из статических страниц
и набора дополнительных специализированных
скриптов, стали не успевать за быстро
меняющимися условиями бизнеса. Ввод данных
на сайт требовал (как минимум) знания
технологий HTML/CSS верстки, изменения структуры
сайтов были сопряжены с каскадным изменением
большого количества взаимосвязанных
страниц. Различные автоматизированные
механизмы, вроде гостевых книг и новостных
лент, внедренные на сайтах как отдельные
скрипты и, как правило, написанные разными
специалистами, перестали удовлетворять
требованиям безопасности. На многих сайтах
стали появляться коктейли из разных технологий
и подходов к разработке, поэтому возникла
потребность в стандартизации программных
решений, в разделении дизайна и содержимого
на две независимые составляющие. CMS действительно
разделяют сайты на две составляющие:
дизайн (внешний вид сайта в целом, отдельных
страниц, конкретных блоков информации)
и контент. Дизайн сайта, как правило «зашит»
в шаблоны и изменяется значительно реже,
чем контент.
CMS открывают изобилие технических
возможностей в создании динамического
веб-ресурса. Все серьезные сайты, содержащие
большой объем информации и требующие
постоянного ее обновления, используют
системы обновления. Это и поисковые машины,
и новостные серверы, и разнообразные
каталоги. С помощью данных систем можно
с легкостью добавлять разделы, размещать
иллюстрации, управлять рассылками, публиковать
закрытую информацию, доступ к которой
есть только у определенных групп пользователей.
И это лишь небольшой список всего того,
чего можно добиться с помощью CMS.
Система управления сайтами
– это программный комплекс, позволяющий
автоматизировать процесс управления
как сайтом в целом, так и сущностями в
рамках сайта: макетами страниц, шаблонами
вывода данных, структурой, информационным
наполнением, пользователями и правами
доступа, а также по возможности предоставляющий
дополнительные сервисы: списки рассылки,
ведение статистики, поиск, средства взаимодействия
с пользователями и т. д. Обычно системы
обновления делятся на две части: внешнюю
– набор HTML-страниц, генерируемых при
вызове страниц из браузера посетителя
сайта и внутреннюю – систему администрирования.
Обе части обычно используют общее хранилище
данных, в роли которого, как правило, выступает
реляционная база данных (иногда встречаются
другие виды хранилищ, например XML-документы
или даже текстовые файлы).
В хранилище помещается информация,
содержащаяся на сайте (собственно контент),
а также информация, описывающая его (макеты
страниц, структура, права доступа и пр.).
При вызове страницы скрипт, который должен
эту страницу вывести, в зависимости от
полученных параметров выбирает из базы
данных необходимую информацию (какое
содержимое показать, какие ссылки поставить,
как это все расположить и т.д.) и генерирует
HTML-документ, который и подается браузеру.
Помимо этого обязательно имеется интерфейс
к базе данных, реализующий систему администрирования,
которая при авторизованном доступе позволяет
изменять содержание и структуру сайта.
Функции систем управления
контентом можно разделить на несколько
основных категорий.
- Создание — предоставление
авторам удобных и привычных средств создания
контента.
- Управление — хранение контента
в едином репозитории. Это позволяет следить
за версиями документов, контролировать,
кто и когда их изменял, убеждаться,
что каждый пользователь может изменить
только тот раздел, за который он отвечает.
Кроме того, обеспечивается интеграция
с существующими информационными источниками
и ИТ-системами. CMS поддерживает контроль
за рабочим потоком документов, т.е. контроль
за процессом их одобрения. Короче говоря,
управление контентом включает в себя
хранение, отслеживание версий, контроль
за доступом, интеграцию с другими информационными
системами и управление потоком документов.
- Публикация — автоматическое
размещение контента на терминале пользователя.
Соответствующие инструменты автоматически
«подгоняют» внешний вид страницы к дизайну
всего сайта.
- Представление — дополнительные
функции, позволяющие улучшить форму представления
данных; например, можно строить навигацию
по структуре репозитория.