Lin Liming1 Li Xinchun2
(Escuela de Administración, Universidad de Minería y Tecnología de China, Xuzhou, Jiangsu 221008)
Basado en los desafíos actuales que enfrenta la seguridad del comercio electrónico. Diversas cuestiones de riesgo, combinadas con algunos métodos actuales de gestión de riesgos, realizan algunos análisis e investigaciones básicos sobre la gestión de riesgos de seguridad de los sistemas de comercio electrónico, con el fin de proporcionar una referencia valiosa para las empresas. -Gestión de riesgos de seguridad del comercio.
Seguridad del comercio electrónico, gestión de riesgos, identificación de riesgos, control de riesgos
1 Introducción
Con el rápido desarrollo de los sistemas abiertos de Internet, la aplicación de El comercio y la promoción han cambiado enormemente el trabajo y el estilo de vida de las personas, brindando oportunidades comerciales ilimitadas. Sin embargo, Internet, como plataforma para el desarrollo del comercio electrónico, está llena de enormes y complejos riesgos de seguridad. Los ataques de piratas informáticos y la propagación de virus han dificultado que las empresas de comercio electrónico se lleven a cabo de forma segura y sin problemas. Además, el desarrollo del comercio electrónico también enfrenta graves riesgos internos, como la ceguera ante los problemas de seguridad y la escasa conciencia de seguridad; Dentro de las empresas de comercio electrónico, la alta dirección Los líderes no prestan suficiente atención a la operación y la gestión de seguridad del comercio electrónico, lo que hace que las empresas inevitablemente encuentren riesgos de un tipo u otro al implementar el comercio electrónico. Por lo tanto, mientras investigamos el entorno operativo del comercio electrónico y proporcionamos soluciones de seguridad para el comercio electrónico, debemos centrarnos en los problemas de riesgo que enfrenta el sistema de comercio electrónico y en los métodos eficaces de control y gestión de riesgos.
La gestión de riesgos de seguridad del comercio electrónico es un método de gestión científica para identificar, medir y analizar los riesgos de seguridad de los sistemas de comercio electrónico y, sobre esta base, lograr la mayor seguridad posible al menor coste y gasto. .
2 Riesgos de seguridad que enfrenta el comercio electrónico
Debido a la complejidad y vulnerabilidad de la red, el desarrollo del comercio electrónico basado en Internet enfrenta serios problemas de seguridad. En términos generales, el comercio electrónico presenta los siguientes riesgos de seguridad:
1) Interceptación y robo de información
Se refiere al uso no autorizado por parte de usuarios o personas ajenas al comercio electrónico a través de diversos medios. medios técnicos para interceptar y robar mensajes e información de otras personas y obtener secretos comerciales.
2) Manipulación de la información
Los atacantes de la red se basan en diversos métodos y medios técnicos para manipular, eliminar o insertar la información transmitida en el medio y enviarla al destino, destruyendo así la integridad de la información.
3) Denegación de servicio
La denegación de servicio se refiere a la falla total del sistema de red o del sistema de servicio del servidor dentro de un período de tiempo determinado. Las razones principales provienen de ataques de piratas informáticos y virus y daños ideológicos al hardware de las computadoras.
4) Problema de robo de recursos del sistema
En un entorno de sistema de red, el robo de recursos del sistema es una amenaza de seguridad común.
5) Información falsa
La suplantación de información significa que cuando los atacantes captan las reglas de los datos de información de la red o descifran información comercial, pueden pretender ser usuarios legítimos o engañar a otros usuarios al pretendiendo ser información. Se manifiesta principalmente como transacciones ilegales, como hacerse pasar por clientes y falsificar correos electrónicos.
6) Rechazo de transacción
El rechazo de transacción incluye que el remitente niegue posteriormente haber enviado el mensaje; que el comprador no lo reconozca después de realizar el pedido y que el vendedor se niegue a reconocer el mensaje; transacción original por motivos de diferencia de precio.
3 reglas de gestión de riesgos
En vista de los diversos riesgos de seguridad que enfrenta el comercio electrónico, las empresas de comercio electrónico deben tomar medidas activas para mantener la seguridad de los sistemas de comercio electrónico y monitorear nuevas amenazas y vulnerabilidades. Por lo tanto, es necesario formular reglas de gestión de riesgos de seguridad del comercio electrónico completas y eficientes.
En términos generales, el proceso de formulación de reglas de gestión de riesgos tiene tres etapas: evaluación, formulación, implementación y operación.
(1) Etapa de evaluación
La tarea principal de esta etapa es evaluar de manera integral el estado de seguridad del comercio electrónico, la información que debe protegerse y los diversos activos, y identificar y analizar algunos riesgos de seguridad básicos.
La evaluación del estado de seguridad del comercio electrónico es la base para formular reglas de gestión de riesgos.
La evaluación de la información y los activos se refiere a la evaluación del valor de la información y los activos relevantes que pueden sufrir pérdidas para determinar reglas adecuadas de gestión de riesgos y evitar un desfase grave entre los costos de inversión y la información y los activos a proteger.
La identificación de riesgos de seguridad requiere descubrir riesgos de seguridad potenciales tanto como sea posible y recopilar información sobre diversas amenazas, vulnerabilidades, desarrollos y contramedidas.
El análisis de riesgos de seguridad consiste en identificar riesgos, recopilar información y evaluar posibles pérdidas para estimar el nivel de riesgos, con el fin de tomar decisiones informadas y tomar medidas para evitar riesgos de seguridad.
(2) Etapa de desarrollo e implementación
Las tareas de esta etapa incluyen la formulación de medidas correctivas de riesgos, la prueba de medidas correctivas de riesgos y el aprendizaje del conocimiento sobre riesgos.
El desarrollo de la corrección de riesgos utiliza los resultados de la fase de evaluación para establecer una nueva estrategia de gestión de la seguridad que implique la gestión de la configuración.
Gestión, gestión de parches, monitorización y auditoría de sistemas, etc.
Una vez desarrolladas las medidas de corrección de riesgos, se probarán las medidas de corrección de riesgos de seguridad. Durante el proceso de prueba, se evaluará la eficacia de las contramedidas en función del efecto de control de los riesgos de seguridad.
(3) Fase de operación
Las principales tareas de la fase de operación incluyen la evaluación de nuevos riesgos de seguridad de acuerdo con las nuevas reglas de gestión de riesgos de seguridad. Este proceso es en realidad un proceso de gestión de cambios y un proceso de implementación de la gestión de la configuración de seguridad.
La segunda tarea de la fase de operaciones es probar y desplegar la estabilidad de contramedidas nuevas o modificadas. Este proceso lo implementan los equipos de administración de sistemas, administración de seguridad y administración de redes.
Las tres etapas de las reglas de gestión de riesgos anteriores se pueden representar mediante la siguiente figura:
Figura 1 Reglas de gestión de riesgos de tres etapas
4 pasos de gestión de riesgos
p>
La gestión de riesgos es el proceso de identificar riesgos, analizarlos y desarrollar planes de gestión de riesgos. Los métodos de gestión y control de los riesgos de seguridad del comercio electrónico incluyen la identificación de riesgos, el análisis de riesgos, el control de riesgos y el seguimiento de riesgos.
(1) Identificación de riesgos
Determinar los requisitos de seguridad del sistema de comercio electrónico mediante una evaluación sistemática de riesgos. Para gestionar eficazmente los riesgos de seguridad del comercio electrónico, identificar los riesgos de seguridad es el primer paso en la gestión de riesgos.
La identificación de riesgos consiste en identificar varios riesgos de seguridad que pueden representar amenazas potenciales para el sistema de comercio electrónico sobre la base de la recopilación de información sobre diversas amenazas, vulnerabilidades y contramedidas relacionadas.
Existen muchas formas de identificar los riesgos. Para la seguridad de los sistemas de comercio electrónico, el objetivo de la identificación de riesgos es principalmente identificar los riesgos del entorno de red, los riesgos de existencia de datos y los riesgos de pago en línea de los sistemas de comercio electrónico.
Cabe señalar que no todos los riesgos de seguridad del comercio electrónico se pueden gestionar mediante la identificación de riesgos. La identificación de riesgos solo puede descubrir riesgos conocidos o riesgos potenciales fácilmente conocidos en función de riesgos conocidos. La mayoría de los riesgos desconocidos deben resolverse o reducirse mediante el análisis y control de riesgos.
(2) Análisis de riesgos
El análisis de riesgos consiste en utilizar varios métodos cualitativos y cuantitativos, como análisis, comparación y evaluación, para determinar la importancia de varios factores de riesgo en la seguridad del comercio electrónico. Se clasifican los riesgos y se evalúan sus posibles consecuencias en todos los aspectos del sistema de comercio electrónico, de modo que los implementadores del proyecto del sistema de comercio electrónico puedan centrarse en responder a algunos riesgos de seguridad importantes y controlar eficazmente el riesgo general del sistema de comercio electrónico. . El análisis de riesgos es un método para identificar riesgos y evaluar posibles pérdidas, y es la base para formular medidas de seguridad.
El objetivo del análisis de riesgos es identificar los riesgos, realizar análisis cualitativos y cuantitativos de los riesgos potenciales que pueden causar daños y, en última instancia, buscar equilibrar económicamente las pérdidas por riesgo y los costos de inversión por riesgo.
Los principales métodos utilizados actualmente para el análisis de riesgos incluyen: matriz de evaluación de probabilidad/impacto del riesgo, análisis de sensibilidad, simulación, etc. Al analizar los riesgos de seguridad del comercio electrónico, debido a las dificultades prácticas para cuantificar los factores que influyen, podemos utilizar principalmente métodos cualitativos combinados con una pequeña cantidad de métodos cuantitativos para realizar análisis de riesgos de acuerdo con las necesidades reales, proporcionando una base teórica para formular sistemas de gestión de riesgos y control de riesgos.
(3) Control de riesgos
El control de riesgos consiste en seleccionar y utilizar ciertos métodos de control de riesgos para garantizar que los riesgos se reduzcan a un nivel aceptable. El control de riesgos es el eslabón más importante en la gestión de riesgos y un factor clave que determina el éxito o el fracaso de la gestión de riesgos. El objetivo del control de riesgos de seguridad del comercio electrónico es cambiar el nivel de riesgo de los proyectos corporativos de comercio electrónico.
En términos generales, existen dos tipos de métodos de control de riesgos:
El primer tipo son las medidas de control de riesgos, como reducir, evitar, transferir riesgos y gestionar pérdidas. En la gestión de riesgos de seguridad del comercio electrónico, la transferencia de riesgos y la gestión de pérdidas son métodos comúnmente utilizados.
La segunda categoría son las medidas de financiación de compensación de riesgos, incluidos los seguros y el riesgo propio. En la gestión de riesgos de seguridad del comercio electrónico, los administradores deben tomar decisiones sobre medidas de financiación para la compensación de riesgos, es decir, elegir un seguro o asumir el riesgo ellos mismos.
Además, la selección de métodos de control de riesgos debe considerar plenamente el coste de las pérdidas causadas por los riesgos relativos. Por supuesto, no se pueden ignorar otros impactos, como la buena voluntad corporativa.
Para la seguridad del comercio electrónico, un método de control de riesgos eficaz y factible es establecer una solución de seguridad completa y eficiente para reducir los riesgos, dominar algunas tecnologías básicas necesarias para garantizar la seguridad y planificar la respuesta de la empresa cuando Se producen incidentes de seguridad específicos. La solución que se debe tomar.
5 contramedidas de gestión de riesgos
Debido a la importancia de la seguridad del comercio electrónico, es muy urgente implementar un conjunto completo y eficaz de contramedidas de gestión de riesgos para la seguridad del comercio electrónico. El propósito de formular contramedidas de gestión de riesgos de seguridad del comercio electrónico es eliminar posibles amenazas y vulnerabilidades de seguridad, reduciendo así los riesgos que enfrenta el entorno del sistema de comercio electrónico.
Actualmente, la estrategia de defensa en profundidad es una estrategia comúnmente utilizada en las contramedidas de gestión de riesgos de seguridad del comercio electrónico. La llamada estrategia de defensa en profundidad se refiere a la seguridad profunda y la seguridad multicapa. Al implementar múltiples capas de protección de seguridad, puede garantizar que cuando se viola una capa, las otras capas aún puedan proporcionar la seguridad necesaria para proteger los recursos del sistema de comercio electrónico. Por ejemplo, si se destruye el firewall externo de una unidad, el intruso no puede obtener los datos confidenciales de la unidad ni destruirlos debido al firewall interno. Idealmente, cada capa proporciona diferentes contramedidas para evitar el uso de los mismos métodos de ataque en diferentes capas.
La siguiente figura muestra una estrategia de defensa en profundidad eficaz:
Figura 2 Estrategia de defensa en profundidad eficaz
Las siguientes son las principales capas de defensa de la capa exterior a la capa interior Breve descripción del contenido:
1) Seguridad física
La seguridad física es el requisito previo para la seguridad de todo el sistema de comercio electrónico. El propósito de formular una estrategia de seguridad física del comercio electrónico es proteger las entidades de hardware y los enlaces de comunicación de los sistemas de comercio electrónico, como los sistemas informáticos y los servidores de comercio electrónico, de los riesgos de seguridad causados por desastres naturales y destrucción provocada por el hombre.
2) Defensa periférica
La protección de la periferia de la red puede desempeñar un papel en la resistencia a ataques externos. Los sistemas de comercio electrónico deben instalar algún tipo de equipo de seguridad en la medida de lo posible para proteger cada nodo de acceso de la red. Técnicamente hablando, los firewalls son el medio más importante de defensa del perímetro de la red. El sistema de comercio electrónico debe instalar uno o más firewalls para garantizar que se minimice el riesgo de ataques externos, y la función de detección de intrusiones debe usarse para detectar rápidamente accesos ilegales y ataques desde el exterior.
3) Defensa de la red
La defensa de la red consiste en evaluar el entorno del sistema de red y tomar ciertas medidas para resistir los ataques de piratas informáticos para garantizar que estén adecuadamente protegidos. En la actualidad, el comportamiento de defensa de la seguridad de la red es un comportamiento de reacción pasiva y la velocidad de desarrollo de la tecnología de defensa no es tan rápida como la de la tecnología de ataque. Para mejorar las capacidades de defensa de la seguridad de la red y permitir que el sistema de protección de la seguridad de la red tome la iniciativa en confrontaciones ofensivas y defensivas, además de herramientas de seguridad pasivas (cortafuegos, escaneo de vulnerabilidades, etc.), medidas de protección de seguridad activa (como trampas de red , análisis forense de intrusiones, detección de intrusiones, recuperación automática, etc.) deben adoptarse en el sistema de protección de seguridad de la red.
4) Defensa del host
La defensa del host consiste en evaluar la seguridad de cada host en el sistema y luego formular las contramedidas correspondientes basadas en los resultados de la evaluación para limitar las tareas realizadas por el servidor. . En el host y su entorno, los objetos de protección de seguridad incluyen servidores, clientes, sistemas operativos en el entorno de aplicaciones del usuario y sistemas de aplicaciones instalados en ellos. Estas aplicaciones pueden proporcionar servicios que incluyen acceso, almacenamiento, transmisión e introducción de información. Según el marco técnico de garantía de la información, la protección de la seguridad de los hosts y sus entornos es, en primer lugar, establecer la primera línea de defensa contra ataques maliciosos de personas internas y, en segundo lugar, evitar que personas externas ataquen a través del límite de protección del sistema.
5) Defensa de aplicaciones
Como capa de defensa, el refuerzo de aplicaciones es una parte integral de cualquier modelo de seguridad. Fortalecer la protección de la seguridad del sistema operativo sólo puede proporcionar un cierto grado de protección. Por lo tanto, es responsabilidad del desarrollador de un sistema de comercio electrónico integrar protecciones de seguridad en la aplicación para brindar protección especial a áreas de la arquitectura a las que puede acceder la aplicación. Las aplicaciones existen en el entorno del sistema.
6) Defensa de los datos
Para muchas empresas de comercio electrónico, los datos son un activo de la empresa. Una vez que caen en manos de la competencia o son destruidos, provocarán pérdidas irreparables. . Por lo tanto, fortalecer la protección de las transacciones de comercio electrónico y los datos relacionados tiene una importancia práctica importante para la seguridad de los sistemas de comercio electrónico y el funcionamiento normal de los proyectos de comercio electrónico.
6 Conclusión
En términos generales, la gestión de riesgos tiene tres contramedidas básicas, que incluyen que los gerentes tomen las medidas adecuadas para reducir la probabilidad de accidentes de riesgo; La situación es cuando los gerentes no hacen nada. Para las contramedidas seleccionadas, se deben estimar completamente los riesgos potenciales y se deben formular los planes de emergencia correspondientes para minimizar las posibles pérdidas por riesgo.
No existen reglas fijas para la gestión de riesgos. Para la gestión de riesgos de seguridad del comercio electrónico, el primer paso es escanear y detectar el entorno interno y externo del sistema de comercio electrónico, verificar las lagunas y los enlaces débiles del sistema, y parchear y agregar equipos rápidamente para minimizar las pérdidas cuando surjan riesgos. en segundo lugar, analizar completamente los riesgos de seguridad del comercio electrónico y luego formular los planes y medidas correspondientes, y monitorearlos y rastrearlos en las distintas etapas de implementación, finalmente, ajustar las medidas de gestión de riesgos en cualquier momento de acuerdo con los cambios en el entorno y formular; un plan completo de recuperación ante desastres.
Referencia
[1] Qian Zaobin. Introducción al Comercio Electrónico (2ª ed.). Prensa de la Universidad de Ciencia y Tecnología de Huazhong 2003.9
[2] Zhong Cheng. Seguridad del comercio electrónico. Chongqing University Press. 2004.6
[3] Sólo libro de formación. Gestión y control de riesgos de seguridad del comercio electrónico. Prensa de la Universidad del Noreste. 2004.6
[4] Yi Shan, Zhang Xuezhe. Análisis de la estrategia de seguridad del comercio electrónico. Economía y desarrollo de la información científica y tecnológica 2004.5
[5] Gao Xinya, Zou Jing. Análisis de riesgos y gestión de riesgos de seguridad del comercio electrónico. Revista de la Universidad Tecnológica de Wuhan. Edición de ingeniería de gestión e información. 2005.8
[6] Guo Xueqin, Chen Yi. Contramedidas de seguridad en el comercio electrónico. Ingeniería Informática y Digital. 2001.7
[7]Li Jing. Precauciones de seguridad del comercio electrónico. Anhui Science and Technology. 2003.4
[8] Greenstein M, Van Mant M. Comercio electrónico: seguridad, gestión de riesgos y control[M] Nueva York: McGraw-Hill, 2000
[9]Charles Cresson Wood, Control básico del comercio electrónico en Internet[M].