Прикладная информатика в экономике
Перевод текста "Электронный риск: безопасность и уязвимость в Интернете". Словарь профессиональных терминов. Области риска, связанные с электронным бизнесом, роль системы и человеческие факторы. Эффективность различных подходов к управлению риском.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 25.12.2010 |
Размер файла | 169,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Институт экономики, управления и права (г. Казань)
Институт бизнес образования
Бугульминский филиал
Дипломная работа
по специальности
«Переводчик в сфере профессиональной коммуникации»
Прикладная информатика в экономике
Выполнила
Ярмеева М.Ш.
Проверила
к.п.н. ЧОУ ВПО БФ ИЭУП (г. Казань)
Климко Н.В.
Бугульма-2010
Содержание
- I. Перевод текста
- II. Словарь профессиональных терминов
- III. Список использованной литературы
IV. Приложение (исходный текст)
I. Перевод текста
Электронный риск: безопасность и уязвимость в Интернете
Введение
В Интернете есть диапазон различных источников риска, связанного с ведением дела. Некоторые из них - прямые последствия наличия веб-сайта вообще. Некоторые получаются из особенной сущности Вашего бизнеса, некоторые от формальности Вашего присутствия в сети. Еще один вид риска - другие риски, происходящие из действий Вашего штата. Важно признать, что не весь электронный бизнес, связанный с риском основывается электронным способом, даже когда имеется электронное проявление.
Изучение целей
На завершение этой главы Вы должны уметь:
1. Распознавать главные области риска, связанные с электронным бизнесом.
2. Анализировать соответствующие роли системы и человеческие факторы, привлеченные в такие риски.
3. Оценивать эффективность различных полных подходов к управлению электронным риском.
Масштаб воздействия
Часто цетируемый анализ трудностей Форреста, связанных с (глобальной) электронной коммерцией (Percival-Straunik, 2001), определил восемь главных источников:
1. внутренняя политика;
2. глобальный/местный баланс;
3. региональная координация;
4. культурные различия;
5. недостаточный сервис снабжения;
6. переход от глобального к стратегии сети;
7. глобальная логистика;
8. сложность продукта.
Рис. 4.1. Сеть потенциальной уязвимости
Но интересно, проблема безопасности не вошла в этот список. Проблемы, относящиеся к стратегии, были отмечены как более важные факторы. Маловероятно, что подобный результат был бы получен, если бы такое исследование проводилось снова вначале 2000-ых гг. Рост "спама", упомянутого ранее, это свидетельство крупномасштабного финансового мошенничества, совершенного в Интернете, использовании электронной почты преступными бандами - всё это и другое принесли проблемы безопасности ключевого момента для дальнейшего развития Интернета. Всё это требует некоторой меры контроля, который в свою очередь влияет на скорость и стоимость интернет-операций.
Рисунок 4.1 показывает диапазон возможных источников рисков и уязвимости для организации, проводящей часть своего бизнеса через Всемирную Паутину.
В этой диаграмме мы видим упрощенную модель некоторых из ключевых элементов организации и операции ее электронного бизнеса. Читатель может видеть, что даже упрощенная модель, это не простой вопрос - есть очень много возможных источников рисков и уязвимости к некоторому виду опасности. В каждом пункте интерфейса (показанный стрелками в диаграмме), есть возможность для некоторого рода разрушительного события или процесса. Например, у организации могут быть спецификации и процедуры безопасности для программного обеспечения, которые устанавливаются ее специалистом по компьютерам, но не имеют системной защиты против установки несанкционированного программного обеспечения, или даже связи с техническим обеспечением в местных ПК или автоматизированных рабочих местах, расположенных в различных частях компании. Факт, что если некоторая часть программного обеспечения не санкционируется, то не означает, что это обязательно приведет к повреждению или потере любого вида, но это увеличивает риск. Например, у большинства организаций будут весьма сложные процедуры для того, чтобы проверить на вирусы и на связанные пакеты - так называемые вредоносное программное обеспечение, и чистить любые диски или другие источники, используемые для того, чтобы хранить программное обеспечение. Однако, во многих организациях культура может хорошо совмещаться с личностями, вводящими диски, содержащие несанкционированный материал, такие как то, что загружено от открытого веб-сайта, скопированного от друга, или даже от бесплатного компакт-диска, отданного с компьютерным журналом. Кроме очевидного потенциала заражения вредоносным программным обеспечением, есть дополнительная возможность, что установка части несанкционированного программного обеспечения может вовлечь включение или выключение некоторой особенности операционной системы, которая затем формирует существующее программное обеспечение неэффективным.
Модель воздействия на рисунке 4.1 указывает источники или потенциальные пункты уязвимости. Это может дать рост широкому диапазону различных типов слабости безопасности. Лаудон и Трэвер (2001) определяют шесть главных форм риска безопасности, связанного с электронной коммерцией:
· Целостность: Может ли содержание информации, полученной через Интернет, измениться некоторым образом неизвестной стороной?
· Отказ от оплаты: компания может послать что-либо, что заказывалось в Интернете, и обнаружить, что получатель отказывается платить, потому что утверждает, что этого никогда не получал; потенциально это можно объединить со сбоем целостности, позволяя кому-то другому, чем реальный клиент взять поставку товаров.
· Подлинность: человек или организация, с которой Вы общаетесь по сети, кем они являются?
· Конфиденциальность: Если я посылаю важную личную информацию другой стороне, могу я быть уверен, что никто больше не сможет получить доступ к ней пока она в пути?
· Частная жизнь: Если я посылаю важную личную информацию другой стороне, могу я быть уверен, что они будут использовать ее ответственно и использовать только в цели, для которой я ее обеспечил?
· Доступность: интернет-обслуживание компании, которое я ищу, является доступным тогда, когда мне это нужно или иногда оно не доступно?
В дальнейшем, мы будем называть потенциал воздействия повреждения; степень вероятности повреждения, уровень воздействия, и потенциальная трудность повреждения, степень воздействия. Мы можем различить на рисунке 4.1 выше, две взаимнопересекающиеся категории источников риска:
· Внутренний к организации.
· Внешне, или через веб-сайт, электронную почту или другую сторону компьютерной системы, или через интернет-интерфейс, интернет-канал связи, или провайдер услуг интернета.
Мы пройдем оба из этих главных источников воздействия и определим и общий уровень, и степень, так же определим некоторые методы, которыми может быть минимизировано воздействие.
Внутреннее воздействие
Тематически, во всех областях воздействия есть человеческие и технические факторы. Вообще говоря, человеческие факторы являются самыми проблематичными, и требуют более осторожного внимания. Технические факторы могут создать слабости, но они могут быть идентифицированы и включены, так или иначе. Человеческий аспект, однако, это то, что у каждого из нас есть уникальная и весьма сложная совокупность интересов и намерений и, в результате этого, есть очень много различных причин, почему кто-то мог бы неосторожно или преднамеренно эксплуатировать любой электронный бизнес, связанный с уязвимостью организации или сети.
Вредоносное программное обеспечение
Мы обычно слышим о вирусах, червях, троянских конях и подобных формах заражения программного обеспечения. Они - все формы пакета программ, разработанного преднамеренно, чтобы создать некоторый эффект или проблему для получателя компьютерной системы - обычно его называют враждебным программным кодом, или коротко вредоносное программное обеспечение. Заражение вредоносным программным обеспечением - один из самых больших единственных источников воздействия для малых организаций (хотя, как мы увидим позже, другие угрозы могут быть более серьезными для действительно больших фирм). Оно имеет и внутренний и внешний аспект к этому. Комментарии ниже сконцентрируются в начале на внутренних слабостях, которые могут привести к заражению, и затем посмотрят на внешний аспект.
Что такое вредоносное программное обеспечение?
Есть три главных вида враждебных программ:
Вирус: Это - самый известный термин, часто используемый обманчиво для всех подобных программ; вирус - программа, которая вообще поселит в файле (обычно, хотя не всегда, выполнимом файле или программе) копию себя, и распространит эти копии к другим файлам, по пути он может сделать что-то еще, такое как показ изображения, или переписать часть чьей-то операционной системы, или стереть данные сохраненные на жестком диске.
Червь: Он может сделать вещи подобные вирусу, но пока вирус распространится от файла к файлу внутри одного компьютера, червь будет путешествовать по сети; по этой причине вирусы могут так же, как часто распространяться через обмен дисками, как часто черви будут переданы через Интернет; обычно метод передачи червем - получение доступа к чьей-то адресной книге в программе электронной почты и затем посылающий себя во все адреса, которые там содержатся.
Троянский конь: Это - то, куда пакет программ активно не передается, но скрывается в пределах некоторого файла, который выглядит безопасным, и возможно, полезным пользователю (игра - общее средство передачи с этой целью), побуждая их открыть пораженный вирусом файл (отсюда название).
Уже появляется четвертая форма враждебного программного кода. Много веб-страниц используют апплеты (маленькие программы, которые добавляют различные формы функциональных возможностей к ним, те, которые выскакивают на экране, или события связанные с движением мыши; они часто пишутся в Java или языки JavaScript). Плохие апплеты - такие процедуры, которые написаны со злоумышленным намерением, и переданы к любому, кто получает доступ к особенной веб-странице или взаимодействует с определенным элементом (таким как кликнуть на радио-кнопку на странице).
Отношение с вредоносным программным обеспечением
Почти у всех главных организаций есть более или менее тщательно разработанные методы защиты против заражения вредоносным программным обеспечением. Этот уровень охвата сокращается быстро, как только каждый спускается к уровню малых предприятий и людей. Некоторые обследования предположили, что меньше чем одна треть всего SMEs защищена против оптовой потери данных из-за воздействия вредоносного программного обеспечения. Общий более низкий уровень меньшей пользовательской защиты, по сравнению с главными корпорациями, прежде всего, снижает стоимость: большая организация может выдержать большие накладные расходы, которые необходимы для защиты против всех главных элементов риска. Это может потребовать не только защита программного обеспечения от вредоносного программного обеспечения, которая несет стоимость в ее собственном праве - но также и техническое обслуживание, обновление, поддержка обработки данных, и так далее. Все эти факторы, которые могут сделать малый бизнес, или индивидуального предпринимателя почувствовать, что стоимость более важна, чем риск, который управляется.
Но когда каждый добавляет к этому факт, что большое количество компаний почти в каждой стране мира - малые предприятия, зарабатывающие скромную прибыль, тогда потенциальный масштаб всемирного воздействия становится огромным.
Важно напомнить в этом контексте аналогию с человеческим заражением: чем больше людей с гриппом, тем больше шанс у вас заразиться им. Кроме очень смертельного заражения, небольшой контакт только с одним человеком несет гораздо низкий уровень воздействия, чем длительный контакт или контакт со многими зараженными людьми. Подобным образом, если у одного ПК где-нибудь есть заражение, которое основывается на вредоносном программном обеспечении, то вероятно, что она будет передана к некоторым другим. Если у них всех есть некоторая форма защиты тогда, скорость передачи значительно уменьшается. Если они - все малые предприятия с устаревшей базой или без защиты, то скорость передачи сильно увеличится, в некоторых случаях к скорости миллионов в час.
Тогда, относительно низкие уровни человека или защиты SME против так называемого вредоносного программного обеспечения - серьезный фактор компромисса в интернете и в безопасности электронного бизнеса. Торговая компания, например, может быть хорошо защищена, но ключевой вопрос - как хорошо защищены их клиенты или их покупатели.
Многие из основных трудностей вредоносного заражения касаются не столько технических особенностей защиты, столько целостности и законченности защитной методологии или управления технологией. Самые общие методы защиты - (a) коммерческое антивирусное программное обеспечение, такое как McAfee или Norton (b) установка брандмауэра, где фильтрация программного обеспечения устанавливается в точках входа, связанных с системами Интернета. Однако у обоих подходов есть недостатки.
Одним недостатком коммерческого антивирусного программного обеспечения обычно является устаревшая к тому времени база, когда он достигает клиента. То есть риски, против которых он разработан, чтобы защитить клиента, были уже определены главными пользователями, и шаги были уже сделаны теми же главными пользователями, чтобы сражаться с ними. Например, Microsoft касался целых отделов с определением и обезвреживанием вирусов и червей. Со многими вредоносными программными обеспечениями объекты имеют дело без конечных пользователей, даже будучи осведомленными о произошедшем, иногда потому что они направлены к большим системам или против структуры Интернета непосредственно - главные серверы. Но авторы сложных и определенных вредоносных программных обеспечений продолжили развивать их собственные "продукты", чтобы избежать таких защит. Например, у известного вируса "концепт" теперь есть буквально множество вариантов.
Но коммерческое антивирусное программное обеспечение, являющееся устаревшим, не является причиной обходиться без них. После того, как пакет был определен и решение или защита, найдены для него, появляются блоки узлов Всемирной Паутины, которые не извлекли урока из этого решения, и будут индивидуальные персональные компьютеры, у которых есть заражение, находящаяся на их жестких дисках и передающая ее - иногда неизвестный владельцу - в течение многих месяцев или даже последующих лет. Снова, это отражает роль человеческих векторов в распространении и борьбой с заражением - после того, как лечение, возможно, было найдено, и большинство населения защищены против заражения, там останутся только индивидуальные носильщики в менее исследованных областях.
Связанный недостаток состоит в том, что эти виды защит имеют только ограниченную передовую ценность. Вообще, они предотвратят существующий пакет, входящий в систему, и часто также защитят против новой формы вредоносного программного обеспечения основанного на существующей стратегии. Если особенный вид заражения был определен (речь идет о том, что активизированный червь посылает по электронной почте копию каждых из электронных писем пользователя к нераскрытому местоположению), то шаги могут быть сделаны, чтобы иметь дело с этим и с другими подобными программами, которые могли бы получить вход в систему через тот же самый вид процесса, и сделать подобные вещи с адресной книгой. Так, как только система защиты определилась в отношении против программы, которая посылает изображение во всю Вашу адресную книгу, тогда это будет иметь дело с любым, который посылает текстовый файл, или также сообщение электронной почты.
Но, как упомянуто выше, изобретательность разработчиков вредоносного программного обеспечения (см. позже в этой главе) по крайней мере, столь же высока как тот из защитников вредоносного программного обеспечения, таким образом, в движении есть непрерывное схватывание процесса, оставляющее большинство пользователей, уязвимыми в течение определенного промежутка времени, пока современная защита не установлена.
Этот последний пункт подчеркивает другой, нетехнический - слабость о защите программного обеспечения. Это хорошо только тогда когда люди, которые активизируют и обновляют ее. Большинство коммерческих поставщиков антивирусного программного обеспечения обеспечивают регулярные он-лайн обновления, но они все еще должны быть определенно предписаны пользователем. Даже в больших корпорациях, где есть значительно высокая осведомленность этого вида воздействия, может произойти случай, когда индивидуальные пользователи автоматизированных рабочих мест или ПК не в состоянии использовать в своих интересах обновление услуг, которые могут быть обеспечены центрально. Если есть недостаточное корпоративное связывание к электронной защите, то возможно сотрудники не знают степень или уровень воздействия, который может создать случайная деятельность безопасности.
Параллельная слабость - это, что, если у сотрудников нет относительно острого понимания воздействия вообще, они, вероятно, будут легкомысленными или небрежными в их использовании несанкционированного программного обеспечения. Некоторые организации очень требовательны на счет этого и запрещают все программные обеспечения, которые тщательно не проверялись. В некоторых банках, например, это - серьезное дисциплинарное правонарушение, чтобы ввести программное обеспечение, которое не было тщательно проверено внутренним компьютерным отделом безопасности.
С другой стороны, не смотря на строгие правила - это одно, а истинное понимание обязательства от штата - другое. Если люди будут знать, что организация серьезно понесла убыток, только из-за их якобы "безвредного" использования диска, то они, вероятно, будут более бдительны, чем если бы не было такой уверенности. Если, с другой стороны, они будут уверены в безнаказанности, то рано или поздно они будут думать "Один раз не повредит", и таким образом целостность системы будет нарушена. Со всеми этими рисками и их предотвращением, это зачастую в меньшей степени способность полностью устранить риск, так как существенное сокращение вероятности воздействия превратится в фактическое повреждение.
Установка брандмауэра - как правило, очень сильная защита. Но у него также есть немного недостатков. Кроме того, есть исторический элемент - Вы можете только защитить себя против того, как ты думаешь, что кто-то "оттуда" уже разработал или рассматривает возможности применения. Так, по определению, не существует защиты от потенциальных атак, о которых не подозревают.
Более важно то, что установка брандмауэров склоняется к общей природе. Как правило, брандмауэр может фильтровать каждую электронную почту или иметь доступ к веб-странице и показывать на экране их для содержания или приложений, препятствуя пользователю получить доступ к чему-либо, для чего создатели брандмауэра полагали создать недопустимое воздействие. Некоторые из результатов действий установки брандмауэра могут быть абсурдными - например, брандмауэр, который предназначен, чтобы защищать не только против зараженных приложений файла, но также и не отображать несоответствующее содержание (такое как ругательства, потенциальные террористические коммуникации, или порнография), может препятствовать передаче законных сообщений. Один смешной пример того, кто заказал себе книгу он-лайн, но при использовании их рабочего ПК сообщение подтверждения остановилось в брандмауэре, так как название книги было «Моя задница выглядит большой в этом?» - популярный роман в Великобритании в 2000; это объяснялось тем, что "задница" была в списке слов, которые соответствовали потенциальному порнографическому содержанию.
Другой механизм, который выполняет подобную роль на брандмауэре является сервером по доверенности. Это - сервер, который стоит в пункте интерфейса или шлюза между системой организации и открытой сетью. Поэтому он может управлять подобными процессами фильтрования аналогично методологиям брандмауэра, но он имеет тенденцию работать в противоположном направлении. Брандмауэр пытается предотвратить нежелательный вход к данным, пока сервер по доверенности пытается препятствовать внутренним пользователям вводить нежелательный материал.
Брандмауэры и серверы по доверенности вообще замедляют уровень передачи. Некоторые брандмауэры - например, из числа тех, которые установлены на правительственных серверах электронной почты - просто, избегают этой проблемы, запрещая передачу вообще любого прикрепленного файла определенного типа. Это усиливает безопасность за счет утраты одного из ключевых эффектов электронной почты.
Когда с потенциальным воздействием коммерческого антивирусного программного обеспечения, не всесторонне принимаемого по организации, у брандмауэра есть потенциальная лазейка - то есть, части полной местной сети, которые работают без защиты брандмауэра, но все еще взаимодействуют с остальной частью сети. Это может случиться по многим причинам. Возможно, система была модернизирована постепенно к пункту, где полагается (по ошибке), что все автоматизированные рабочие места находятся на особенной системе или имеют данный набор параметров настройки, и затем брандмауэр внедряется в механизм в силу тех параметров настройки или систем. Но индивидуальное автоматизированное рабочее место, возможно, было пропущено, индивидуальный пользователь, возможно, не сделал все, что было необходимо, чтобы вызвать модернизацию, или могла быть техническая ошибка, где центральная электронная запись для автоматизированных рабочих мест разрушена или недостаточна некоторым другим способом, так сказать, оставляет некоторые машины "вне списка".
Дальнейшая трудность со всеми методами внутренней защиты - это "внутренняя сеть", которая не совсем самостоятельна. Устойчивый рост людей, работающих дома или далеко от офиса, подразумевает, что люди используют ноутбуки и ПК, которые могут соединиться с местной сетью промежуточно, как посредник (например, через электронную почту посредством провайдера услуг интернета третьего лица, такой как MSN или AOL) или косвенно (через работу, сохраненную на диске или переносном устройстве и затем загруженный позднее в машину рабочего места). Зачастую происходит так, что хороший брандмауэр сети предотвращает ввод основных пунктов вредоносного программного обеспечения, потому, что ноутбуки штата не так хорошо защищены. Все же дальнейшая проблема здесь состоит в том, что, работая в офисе, кто-то может использовать телефонную линию, которая стоит вне общей сети. Для более старших менеджеров характерно иметь линию, которая отдельна от главного распределительного щита, который используется для высоко конфиденциальных звонков. Расширение "аэропорта" и других удаленных устройств модема означает, что менеджер мог использовать эту линию, чтобы получить доступ к Интернету полностью независимо от технологий установки брандмауэра организации, создавая воздействие, которое может позднее способствовать внедрению пакетов вредоносного программного обеспечения в главную систему.
Короче говоря, заражение вредоносным программным обеспечением может быть защищено программным обеспечением, разработанным, чтобы "обезвредить", как только они были "пойманы" брандмауэром или подобными технологиями, разработанными, чтобы предотвратить начальное внедрение в систему или сеть. В практике есть существенные недостатки у обоих.
Хотя основная слабая связь - это отсутствие понимания пользователями важности защиты против этого типа воздействия, мы вернемся к этой теме позже.
Защита личных данных
Много корпоративных систем будут содержать много личной информации, о клиентах и о штате. Во многих странах есть существенное законодательство, требующее, чтобы сохраненные данные использовались только определенными способами, и что это не общедоступно. Кроме законодательного требования, это - несомненно, хороший способ не допускать, чтобы все до одного видели дисциплинарные отчеты членов штата, например, или иметь частные адреса клиентов, открытых для общественного просмотра.
Стандартный способ защитить эту информацию - защита паролем файлов или серверов. Большинство корпоративных местных сетей также используют защиту паролем для учетных записей индивидуальной электронной почты, для доступа к определенной учетной записи пользователя, для использования сети, или даже для любого уровня доступа к автоматизированному рабочему месту. Единственный результат - это то, что люди могут хранить некоторые пункты конфиденциальной информации независимо от любой корпоративной базы данных. Это само по себе может создать воздействие, что организация, возможно, даже не осознает, что это имеет.
Обычно имеются три постоянных проблемы с паролями (эти комментарии применяются также к использованию паролей как внешний метод защиты):
· Люди плохо запоминают пароли, таким образом, им предоставляется выбор. Они часто выбирают что-то запоминающееся для них, например, имя их любимого хомяка, или их даты рождения. Тот, кто знает немного о человеке, мог бы тогда иметь прекрасный шанс попытаться отгадать их пароль.
· Когда пароли установлены центрально, или система устанавливает параметры на отборе пароля (такие как запрет легко опознаваемых слов, или требование, чтобы включать числовые элементы, так же как и алфавитные данные в пароль), тогда для среднего пользователя становится трудным запомнить его. У большинства людей, использующих компьютерные системы, вероятно, имеются множественные пароли, чтобы помнить (такие как электронный магазин или интернет-семинары, пин-коды банковских карт, наборы данных распознавания ISP). Объем информации безопасности, которую, вероятно, придется помнить потребителю, создает большое искушение записать их. Чтобы сделать это для служащего компании, необходимо создать новую форму воздействия, основанного на риске, что записанный пароль замечен посторонним человеком.
· Пароли должны регулярно анализироваться, чтобы остаться безопасными. Хакеры используют программы, которые не только формируют огромные числа случайных символьных строк, которые могут действовать как пароли, но так же попытаться использовать их для входа в безопасную сеть. Чем дольше особенная последовательность сохраняется, тем больше вероятность того, что он будет взломан одной из таких программ и использоваться для входа. Кроме того, чем дольше пароль используется, тем больше шанс, что кто-то еще может узнать его. К сожалению, чем чаще пароли изменяются, тем больше вероятность того, что люди захотят записать их, чтобы помнить.
Также, есть краткосрочные проблемы с защищённым паролем входом в совокупность данных. Люди могут иметь данные на экране и быть вызваны внезапно на встречу, оставляя "безопасную" информацию видимой для тех, кто проходит мимо их стола. Даже если кто-то сидит за столом, с открытыми схемами офиса, то мимо идущий посторонний человек может мельком увидеть их. Так же существует риск того, что кто-то ненамеренно может увидеть информацию, или увидеть кое-что деликатное, но не значительное, и поэтому создается дополнительное воздействие на организацию.
Конечно, каждое новое развитие в технологии увеличивает потенциальные защиты - использование веб-камер, например, может использоваться к программному обеспечению распознавания радужной оболочки так, чтобы экран мог только выключаться человеком, ответственным за устройство на рабочем столе. У программного обеспечения голосовой идентификации есть подобный потенциал, оба из них широко используются в других прикладных системах личной идентификации - таких как безопасность аэропорта.
Человеческие факторы во внутреннем воздействии
Предыдущие формы воздействия представляют собой совокупность человеческой и технической слабости. Следующее является, прежде всего, человеческим, и затрагивает вопрос о пользователе, а не проектировании системы.
Коммерческая конфиденциальность
Не говоря уже о том, что любая компания, использующая компьютеры даже в минимальной степени будет хранить информацию так, как они хранили бы ее для себя. Коммерческая конфиденциальность понимается как центральная особенность конкурентоспособного преимущества для большинства организаций. Но это не всегда так, как некоторые полагают. Самых действительно новых совершенствований произошла утечка через прессу, или технология была сообщена через научно-исследовательские работы, или "бета" версии были уже испытаны членами штата, или просто предположение конкурентов, как обычно бывает (потому что они также могут воздействовать на подобные линии). Но все таки, выбор времени и сущность нового развития могут быть крайне важными для его успеха. Кроме того, информация, касающаяся слабостей или проблем организации, возможно, будет очень деликатна, в некоторых случаях открытое знание могло привести к клиентам, отменяющим заказы, к поставщикам, требующие непосредственную оплату счетов (со всеми присутствующими проблемами, которые создаются для потока наличности), например.
Таким образом, коммерческая информация драгоценна, и ее распространение может быть основным ударом по организации. Многие из защит, обрисованных в общих чертах в этой главе (установка брандмауэров, шифрование, пароли), помогут сохранить коммерческую конфиденциальность. В отношении этих средств остаются те же самые виды технических и человеческих проблем. Однако, есть другие потенциальные проблемы с конфиденциальной информацией и использованием электронной почты или Интернетом.
Самая простая проблема - явное не понимание людьми торгового значения пункта информации. Много лет назад, один из авторов этой книги работал в главной организации коммуникаций, и выводил регулярный информационный бюллетень для компьютерных пользователей. В этом случае он хотел выпустить статью о том, что казалось ему, было безопасным, но интересным аспектом использования внутреннего компьютерного. Случилось так, что один из менеджеров (двумя уровнями выше) увидел выпуск прежде, чем он был распространен, и понял, что главному проекту, привлекшему несколько миллионов фунтов стерлингов, можно было бы нанести ущерб, если бы эта информация была общедоступной. Автор просто не понимал тонкости статьи.
Другие потенциальные слабости затрагивают распространение информации. Обычно веб-страница занимает немного времени для загрузки, некоторые люди из одной организации хотят увидеть информацию до того, как она загрузиться, поэтому ошибка одного человека приравнивается восприятию других, т.о. выпуск случайной информации снижается. Электронные письма, образующие важный филиал к большой торговле, основанной на интернет-технологии (например, подтверждение продаж или адресов поставки, посылка паролей, и так далее) так же как другие аспекты интернет-бизнеса могут очень легко привлечь ошибку раскрытия. Например, кнопка "ответ" является часто правильной рядом с кнопкой "ответ всем", так, чтобы ошибка пальца или мыши означала, что многие увидят то, что предназначалось только для одного. Или иногда читатель не прокручивает вниз все сообщение и посылает не нужную информации (это особенно распространено, когда электронные письма включают длинный список ответов, выскакивающих между перепиской так, что в итоге пользователь забывает, что именно они сказали четыре электронных письма назад.
Договорное обязательство
Вместе с любой другой формой коммуникации веб-страница или утверждения электронной почты могут явиться частью юридически обязательного контракта. К тому же, чем просматривать его в более длительном процессе через веб-страницу, это без труда можно сделать в электронной почте. Также важно различать то, что у различных утверждений может быть различный импорт, культурно или юридически, в различных странах. По определению, Интернет глобален, следовательно, организация должна, по крайней мере, принять во внимание различные виды анализа, которые сделаны об утверждениях о товарах или предлагаемых услугах. Это привело к весьма нелепым ситуациям, где компании, боящиеся возможного судебного процесса, основанный на штате, отсылающем дурные мысли, или несанкционированные электронные письма теперь вставляют длинные уведомления правовой оговорки, обычно намного больше, чем текст сообщения.
Есть также степень двусмысленности о юридической силе относительно утверждения, созданного в Интернете. Вообще можно предположить, что страна, в которой основалась компания или созданная веб-страница будет юридической системой, под которой любое требование можно было бы узнать, но это не так просто, как кажется. Многонациональная организация с интранетом, который простирается через многие страны, например, имеет веб-сайт, где вклады были сделаны в различных местах, касающиеся различных стран, может выставить конкретные услуги или товары для них, и где исходные файлы проведены в различных местах на серверах в различных странах.
Известность
Риски плохой известности являются менее объявленными с веб-сайтами, чем с нестабильным использованием электронной почты. Электронные письма, в которых люди используют непристойный язык, например, или которые включают шутки или правдивые комментарии о коллегах, могут попасть в ненужные руки или, случайно или даже спланировано распространяться по Интернету. В таких случаях немедленно ложится ответственность не только на злоумышленников, но также и на работодателе. Например, согласно английскому закону работодатель, как предполагается, сделает разумные шаги, чтобы защитить весь штат против сексуального или расового оскорбления, и это конечно расширит распространение сексуального обсуждения коллеги по Интернету. Например, недавно случилось, что ведущему финансовому торговцу приказали покинуть его работу немедленно после распространения по электронной почте описание полового акта совершенного коллегой.
Но известность также создается через эффективность веб-сайта. Клиент сформирует плохое представление о компании, веб-сайт которой долго грузится, или имеет технические ошибки (такие как ссылки к несуществующим страницам, или страницам, которые как следует не проверялись, и происходит наложение записей или не показывает некоторые изображения). Как обсудим позже, одна главная ошибка здесь состоит в том, что много организаций очень высоко оценивают мощность браузеров и системы их клиентов и заказчиков, так, если страница, казалось бы, загружается на их машинах при проверке, то с более низким техническим или программным обеспечением она может загрузиться плохо. В некоторых случаях, страница может вообще не загрузиться или не включить значимые области содержимого. Убеждение разработчиков веб-сайта ранее состояло в том, чтобы проверить страницы на столь же широком диапазоне браузеров насколько возможно, и оставить доступной на всякий случай текстовую версию страницы.
Некоторые проектировщики веб-сайта берут страницу от видов качественного теста, используемого компаниями популярной музыки - так называемый стиль текста "авто радио". Это - то, где преднамеренный выбор сделан, чтобы проверить продукт на наименее подходящем аппарате (в этом контексте, такой тест может наблюдаться, когда сайт создается на старом ПК, прогоняется на устаревшей операционной системе, с ранней версией браузера, и использующем медленную телефонную линию). Предполагается, что если продукт работает хорошо, тогда он должен работать хорошо в любом контексте.
Вообще, стиль и целесообразность содержимого веб-страницы - главный маркетинговый фактор. Более широкое тестирование сайта на различных браузеров, различных операционных систем, различных технических обеспечениях, различных скоростях телекоммуникационных линий, более вероятно, что сайт соответствует общепризнанной целевой аудиторией.
Дальнейший уровень воздействия риска известности - вероятность кражи веб-сайта или его названия. У знакомого одного из авторов этой книги был веб-сайт, который был "украден". Название сайта нуждалось в возобновлении, и человек, скорее неэффективно, сделал это в последний день до блокировки. Это привело к сайту, который был не доступен для общественности в течение одного или двух дней, пока оплата обрабатывалась (само по себе это нежелательная особенность). Но когда страница восстановилась, то сайт был перекачен для другого, который управлял порнографией! Кажется, что порнографический автор обрабатывал сайты, которые не функционировали или казались бездействующими и затем переключающимися деталями их сервера, так, чтобы посетитель направлялся к порнографическому сайту, а не к реальному. Несущественное переписывание деталей сервера веб-регистрации было всем, что необходимо, для восстановления статуса-кво, но в результате приводило к некоторому затруднению с клиентами! Другой источник проблем известности - когда адрес веб-сайта предлагает что-то одно, хотя в действительности оно используется другим. Люди, например, зарегистрировали имена знаменитостей или известных фирменных знаков, и затем управляли юридическим, но поврежденным содержанием на тех сайтах, где знаменитость или корпорация были вынуждены купить сайт, чтобы подавить его. (Это было вне закона в нескольких странах, но если это законно где-нибудь, тогда это можно зарегистрировать в разрешенной стране). Это подчеркивает потенциальную уязвимость веб-сайтов к повреждению известности.
Из примеров видно, что есть степень двусмысленности о внутреннем/внешнем делении, когда дело доходит до связанного воздействия Интернета. Это останется тематической проблемой с остальной частью этого обсуждения. Как было сказано в начале этой главы, большая часть воздействия в меньшей степени зависит от разработки системы, чем использование людей или системы злоупотребления. Это подчеркивает тему этой главы, что управление человеческими ресурсами столь же важно в управлении электронной коммерцией, как и вычислительные технические особенности.
Внешнее воздействие
Главные формы внешнего воздействия происходят от заражения вредоносным программным обеспечением и поломки компьютеров людей или их удаленного подключения (хакерство, как уже известно). Снова, главный источник такого воздействия снижается к человеческим факторам, поскольку это относится к разработке системы или техническим недостаткам.
Варианты хакерства и ум хакера
Общее восприятие хакеров - это главные мотивы, жадность или недоброжелательность - то есть любое хакерство способствует облегчению коэффициента преступности, такую как кража или хищение, или это преднамеренное повреждение организации или глобальной рыночной (или капиталист) экономики. Это - большое упрощение ситуации, и тем не менее если ни один не получит некоторое представление о мотивах различных групп хакеров, то ни один не будет иметь дело с ними.
Важно перед обсуждением подчеркнуть, что хакерство - почти всегда преступное действие, так же, как взлом и проникновение. Как мы увидим далее, не каждый хакер - преступник или имеет злобный умысел - так же, как и не все, кто врывается в собственность, имеет злобный умысел. Но само действие, однако, является преступным (кроме белого хакерства - см. Блок 4.1).
Мы должны принять во внимание различные причины, почему кто-то мог бы хотеть взломать систему (что, конечно же, даст нам информацию, что они вероятно делают). Они включают:
· Игра: Некоторые компьютерные энтузиасты (многие из них подростки - иногда характеризуются как "запрограммированные дети") наслаждаются просто попыткой войти в закрытую систему; случалось, что "запрограммированные дети" умудрялись получить вход к высоко секретным компьютерным системам (включая Пентагон) только, чтобы не нуждаться в информации, к которой у них был доступ.
· Компьютерные энтузиасты и пуристы: есть много компьютерных энтузиастов, которые используют хакерство как средство развить их собственные навыки и понимание, и также в некоторых случаях как средство распознавания системных слабостей; есть много семинаров и свободных собраний, которые разделяют идеи и события о хакерстве публично; у одной группы, которая назвала себя "почитание мертвой корове" в конце 1990-ых, было много вкладов от людей, требующих, чтобы хакерство было единственным способом, которым они могли получить значительные программные обеспечения компаний (компания Microsoft была главным кандидатом в большинстве случаев), чтобы рассмотреть слабости, которые они раскрыли - возможно, некоторые из них могут быть уловкой людей с более злобным намерением, но на первый взгляд демонстрировалось, что некоторые хакеры были мотивированы интересом и желанием увидеть более эффективные системы.
· Коммерческое состязание: Как показано в обсуждении электронной почты, это редко в современности, что любое новое коммерческое развитие полностью секретно. Однако, есть другие аспекты коммерческой деятельности, у которых существенная степень конфиденциальности о них - отчеты жалоб, процессуальные акты, улаженные судом, кадровые файлы и финансовые отчеты. Все они и другие могут быть ценным оружием для агрессивного конкурента или стороны, и поэтому хакерство может быть полезным, но неэтичным средством для промышленного шпионажа.
· Международная война: Во время вооруженных столкновений в юго-восточной Европе в 1990-ых, были две значительно злобных программы, запущенных изнутри боевых стран, которые, как полагалось, были предназначены вызвать некоторое повреждение, или, по крайней мере, трудность, к главным странам, обеспечивающим военную поддержку ООН. Кроме того, любой вход в военные компьютерные системы страны (такие как взлом Пентагона, как упоминалось выше) является значительным нарушением национальной безопасности с потенциально катастрофическими значениями.
· Антикорпорация: Некоторые люди (этот процесс иногда называется - хактивизм), подделывают систему определенной корпорации, чтобы отомстить им, возможно, служащим, который был уволен, возможно, клиентом, который получил плохое обслуживание, возможно, членом общественности, который перенес серьезную потерю (например, несчастный случай в результате использования кухонного оборудования определенной фирмы) и имеет недовольство против фирмы. Из них обиженный служащий является потенциально опасным, так как он может знать не только свой доступ в систему, но и основную архитектуру системы, где он может причинить значительные повреждения.
· Антикапитализм: концепция рыночной, или капиталистической, экономики была раскритикована даже до Карла Маркса; однако, остаются некоторые критические взгляды на этот подход, который принуждает предпринимать прямое действие против капитализма. Многие из них полны решимости подрывом современной рыночной экономики, но есть такие, кто полагает (мудро или нет), что они могут разрушить или возможно наказать тех, кто получает прибыль от капитализма как идеологии. Для них (другой тип хактивист) хакерство предусматривает особенно иронический источник деятельности, видя его, как центральную часть современного капитализма.
· Преступность: Последний, но не менее опасный, тех с простым преступным намерением обмануть и украсть, для кого вход в компьютерную систему может предусмотреть ключевую информацию, им необходимо совершить преступление - детали банковского счета - очевидный пример.
Самый важный аспект данного выше списка - то, что криминология всех этих групп весьма различна (помните, что даже в безопасных случаях это все равно преступление). Для различных видов мотива соответствуют различные виды защиты, некоторые из которых могут находиться в долгосрочном перевоспитании, а не в простом подходе стиля, как "предупредить, обнаружить и наказать". Блок 4.1 показывает это.
Блок 4.1 Ваш цвет
Обычно в вычислительных областях, различают три уровня хакерства:
· Белые хакеры, иногда работающие в группах, названных "команды тигра", фактически работают на вычислительные компании, пытаясь проверить их системы до предела, чтобы увидеть слабости; они - единственные люди, которые законно могут взломать систему.
· Черные хакеры, главное цель - получить результаты, которые организация видит как повреждение (хотя в некоторых случаях хакер черный хакер может видеть себя как освободителя информации, которая должна быть свободно доступной в сети для всех); подкласс черного хакера - так называемый крякер (или взломщик) - хакер с преступным намерением; не все черные хакеры - взломщики, у некоторых есть политические мотивы (то есть, "хактивисты").
· Серые хакеры - те, кто утверждает, что работает подобно белым хакерам - то есть, распознавал слабости в системах, но они - несанкционированно независимые операторы, и таким образом есть подозрение, что некоторые могут быть скрытыми взломщиками; кроме того многие из больших вычислительных фирм боятся, что серые хакеры могут небрежно подать сигнал тревоги взлома системы.
Мы видим в Блоке 4.1 широкую классификацию хакерства, хотя маркированный список, данный ранее, распознает диапазон более определенных мотивов, которые могут работать, когда люди взламывают системы. Ключевой вопрос - различные мотивы подразумевают различные виды хакерства, которые непосредственно требуют различных видов реакции. Например, много (хотя возможно не все) антикапиталистических протестующих больше всего заинтересованы в том, чтобы иметь место, где они могут высказать свои взгляды и выразить свои различие мнения. Но не все хотят "разбить" правящий класс - некоторые могут просто хотеть преобразовать текущие подходы к бизнесу, который демонстрируют большие корпорации. Жесткий закон, и реакция стиля охраны на их деятельность может привести к обратным результатам, поскольку это может повернуть людей, которые хорошо относятся к Вашей корпорации в тех, кто терпеть не может Вас.
Соответствующая реакция здесь, возможно, не простой ответ систем сжатия лазеек (хотя это всегда должно делаться так или иначе), или вызов надлежащих правовых процессов, так как воспитание одного из пытающихся обеспечить возможности протестующего заинтересовать в более положительном диалоге. Например, регулирование зоны обсуждения, где протестующие могут высказать свои точки зрения и менеджеры, которые могут ответить им. Это не возможно для каждой организации, так как занимает много времени и значительной дипломатии, и может отвлечь от бизнеса. Но для большой многонациональной компании (которые обычно являются целями антикапиталистических протестующих), этот вид подхода может привести к долгосрочным выгодам, чем интенсивный юридический ответ. Это конечно было бы хорошее отношение с общественностью, и никак иначе. Но это работает только тогда, когда организация думает, что это действительно защитит ее положение. Если менеджеры знают, что их организация действует неэтично, например, то они вряд ли будут за нее. Но тогда им не место в бизнесе, если они не могут защитить то, что они делают. С другой стороны, более решительные черные хакеры, втянутые в преступную деятельность, или действующие как часть военного конфликта, не будут удержаны таким подходом. В этих случаях это - вопрос предупреждения, обнаружения и санкции.
Типы хакерства
Существует множество различных форм, которые хакерство может охватывать, включая:
· Доступ к данным и кража данных из баз: основное отношение в этой сфере было связано с возможными потерями финансовых данных, таких как банковские счета и данные счета кредитной карты.
· Тайный мониторинг информации: иногда называемый снифингом, это - то, где программа может внедряться как вирус или троянский конь; общая ее форма - перехват электронной почты, где программа просто читает и пересылает на сообщения внутренней или внешней электронной почты (некоторые из которых могли содержать конфиденциальную корпоративную информацию, или компрометирующую информацию о личной жизни старших менеджеров, которые затем могут быть использованы в целях шантажа, и так далее).
· Распознавание искажений: иногда называемый спуфингом, хакер может маскироваться как легальная организация, например, чтобы мотивировать поставщика посылать товары по новому адресу.
· Отказ в обслуживании (часто называемый DOS-атаками): возможно, самый сильный вид хакерства встречается тогда, когда организация так много обеспечивается трафиком, что ее внутренняя система крушится и электронные деловые операции организации становятся недоступны на некоторое время; продолжают развиваться все более и более их исчерпывающие версии: распространенные DOS-атаки используют большое количество компьютеров, чтобы начать движение; смарф-атака развивается далее и побуждает большое число потенциальных пользователей и клиентов посылать проверочные сообщения организации; большинство из них, вероятно, используются хактивистами, больше чем профессиональным мошенником.
Дополнительной выход, который действительно не представляет риск безопасности, хотя иногда может являться его результатом, является спам, обсужденный ранее. Важно признать, что спам - незапрашиваемая электронная почта, но непохожее на прямую рассылку писем. Здесь необходимо различать между целенаправленной рассылкой писем (или электронная или бумажная форма), посылаемую человеку, который свободно и сознательно выбрал, чтобы раскрывали их наименование и адрес организации, и надлежащий спам, который использует имена и адреса людей без их ведома или согласия. Не все сообщения знают - много организаций либо по Интернету, либо по звонку в центр запроса требуют раскрытия личных деталей прежде, чем дальнейшая деятельность будет прогрессировать, и в некоторых случаях это может продолжаться без понимания этого человеком.
Спам - растущее явление - некоторые оценки достигают до 40 процентов движения всего трафика в Интернете. Пока это не слабость безопасности, само по себе это может коснуться одного - поскольку люди стали более мудрее по отношению к спаму, спаммеры взялись за маскировку своих адресов; например, спуфинг используя информацию, взятую незаконно от третьих лиц или при использовании программы, чтобы исказить собственный адрес электронной почты получателя (так например jsmith@isp.com станет aljsmith@isp.com). Существуют программы-фильтры, которые работают со спамом, так же как брандмауэры и подобные модели. Для любой организации получение спама может представлять большую трату времени, но его посылка может быть одинаково сложной; например, уменьшая достоверность организации.
Средства от внешнего воздействия
Важно помнить пункты, сделанные ранее, что источники и причины существующих рисков безопасности различны, и, следовательно, средства также должны быть разнообразными, не только, чтобы обратиться к различным мотивам, которые люди имеют для того, чтобы использовать слабости безопасности, но также и распространить степень общей защиты. В случае криминальной деятельности, например, вообще предполагается, что они направятся туда, где отборы самые легкие. Хорошо защищенная организационная сеть, например, хотя и не надежная, может предложить малообещающее место, чем та, у которой, как кажется, есть меньший общий центр в безопасности. Это - аналог кражи - дом с неочевидным сознанием безопасности вообще более уязвим, чем тот, где кто-то только вывешивает пустую коробку, для того, чтобы отпугнуть.
Подобные документы
Словарь — книга, содержащая собрание слов, расположенных по определённому принципу. Электронный словарь – компьютерная база данных, содержащая особым образом закодированный словарные статьи. Возможности электронных словарей, достоинства и недостатки.
статья [178,0 K], добавлен 11.11.2010Исследование современных технологий машинного перевода. Изучение классификации систем перевода. Характеристика особенностей работы с электронным словарем. Языковые инструменты Google. Программы для проверки правописания и грамматики, текстовые редакторы.
реферат [917,0 K], добавлен 02.11.2014Мировая история технологии машинного перевода как класса систем искусственного интеллекта. Классификация программ онлайн-переводчиков, поддержка функции контролируемого входного языка. Многоязычные браузеры в Интернете и перечень электронных словарей.
контрольная работа [21,6 K], добавлен 03.02.2011Неопределенности, связанные с наступлением нежелательного события, влияние нежелательного события на характеристики программного обеспечения. Концепция, функции и методология оценки и управления риском. Таксономия риска, функция консолидации рисков.
контрольная работа [136,9 K], добавлен 29.06.2010Необходимость разработки технологий для оптимального использования компьютерных возможностей. Эффективность гипертекста в экономике на примере словаря экономических терминов, возможности Excel, ознакомление с языком программирования Visual Basic.
курсовая работа [391,3 K], добавлен 14.01.2009Методика преподавания в высшей школе. Управление учебно-познавательной деятельностью. Требования к электронным учебникам и тестирующим программам, технологии их создания. Проектирование комплексов автоматизированных дидактических средств и учебных курсов.
дипломная работа [535,1 K], добавлен 08.11.2012Современные подходы к дистанционному образованию. Применение новых образовательных технологий. Анализ подходов к созданию обучающих интернет-ресурсов и выбор среды разработки. Эффективность создания интернет-ресурса с использованием cms-системы ucoz.
дипломная работа [317,4 K], добавлен 26.11.2010История возникновения, эволюция машинного перевода. Основные требования к коммуникативной эквивалентности. Последовательность формальных операций в системе машинного перевода, ее концепции развития. Переводчик для офиса. Преимущества электронных словарей.
презентация [455,3 K], добавлен 22.10.2013Автоматизация процесса защиты противопожарного инвентаря и средств пожаротушения. Проект микропроцессорной системы управления электронным замком: разработка концепции и структуры АС. Программное обеспечение микроконтроллера, листинг программы и прошивки.
дипломная работа [2,0 M], добавлен 28.05.2012Неформализованное описание предметной области. Словарь терминов для объектов и элементов данных. Первичные и альтернативные ключи. Диаграмма сущность-связь для предметной области. Неизбыточное редуцированное покрытие системы функциональных зависимостей.
курсовая работа [398,8 K], добавлен 22.03.2015