Tema. Modelul de referinţă pentru afacerile electronice.

1. Modelul de referinţă pentru afacerile electronice.

2. Vulnerabilitatea datelor.
3. Măsuri de contracarare.
1. Modelul de referinţă pentru afacerile electronice.
Modelul de referinţă al afacerii electronice creează cadrul pentru abordarea cantitativă a problemei şi
defineşte, conceptual, activităţile din e-Business în vederea identificării oportunităţilor de îmbunătăţire.
Modelul de referinţă (fig.1) constă din patru nivele grupate în două blocuri principale.
Blocul superior se concentrează asupra naturii afacerii şi proceselor care asigură serviciile folosite de
website.
Blocul inferior se concentrează asupra modului în care clienţii interacţionează cu website-ul şi cererile pe
care le plasează folosind resursele oferite de infrastructură.
Fiecare nivel al modelului de referinţă este asociat cu două mari clase, de descriptori şi de metrică (sistem de
măsură), folosite pentru caracterizarea cantitativă a nivelului.

Figura 1. Modelul de referinţă al afacerii electronice

Metrica externă şi descriptorii acoperă natura afacerii şi sunt vizibile managementului şi clienţilor. Sunt
folosite pentru a menţine performanţele proceselor de afaceri. De exemplu, se poate utiliza o metrică pentru afacerea
electronică care să reflecte, în acelaşi timp, comportamentul magazinului on-line şi al clienţilor. O asemenea metrică
este rata încasărilor, măsurată în unitate monetară/sec, generată de finalizarea tranzacţiilor on-line. Altă metrică
externă ar putea fi disponibilitatea pagini vizitate/zi sau vizitatori unici/zi.
Descriptorii externi includ informaţii ca numărul de clienţi înregistraţi, numărul de clienţi potenţiali,
numărul maxim de clienţi din magazin, numărul articolelor, costul operaţional estimat şi serviciile disponibile
clienţilor.
Descriptorii şi metrica internă caracterizează infrastructura site-ului şi modul în care serviciile şi resursele
sunt utilizate de clienţi. Metrica internă este orientată spre măsurarea performanţelor aplicaţiilor şi a infrastructurii
tehnologiei informaţiei. Exemple ale acestei arhitecturi sunt: numărul de cereri HTTP/sec., tranzacţii ale bazei de
date/sec., timp de răspuns al serverului, utilizarea discurilor şi a reţelei.
Descriptorii interni includ informaţii despre aplicaţii şi arhitectură precum: structura de navigare, practici
înregistrate în modul de navigare al clienţilor, caracteristici ale componentelor care dau consistenţă site-ului.

2. Vulnerabilitatea datelor.
Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura
sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de
sistemele de securitate şi a avea acces neautorizat la informaţii.
Orice calculator este vulnerabil la atacuri. Politica şi produsele de securitate ale firmei pot reduce
probabilitatea ca un atac asupra calculatorului să aibă puţine şanse de reuşită.

1
 Principalele vulnerabilităţi în sistemele de calcul sunt: fizice, naturale, hardware, software, medii de stocare,
radiaţii, comunicaţii, umane.
Toate aceste vulnerabilităţi vor fi exploatate de persoane răuvoitoare. Referitor la scara vulnerabilităţilor
putem să distingem trei mari categorii:
• vulnerabilităţi care permit refuzul serviciului (DoS - Denial of Service);
• vulnerabilităţi care permit utilizatorilor locali să-şi mărească privilegiile limitate, fără autorizare;
• vulnerabilităţi care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat.
Vulnerabilităţile care permit refuzul serviciului fac parte din categoria C şi exploatează viciile (en. Holes)
din sistemul de operare, mai precis viciile la nivelul funcţiilor de reţea. Aceste vicii sunt detectate uneori la timp şi
acoperite de către producător prin programe - patch-uri.
Acest tip de atac permite ca unul sau mai mulţi indivizi să exploateze o particularitate a protocolului IP
(Internet Protocol) prin care să interzică altor utilizatori accesul autorizat la informaţie. Atacul, cu pachete TCP
SYN, presupune trimiterea către calculatorul-ţintă a unui număr foarte mare de cereri de conexiune (en. flooding),
ducând în final la paralizarea procesului. În acest fel, dacă ţinta este un server, accesul la acesta e blocat şi serviciile
asigurate de acesta sunt refuzate.
Vulnerabilităţile care permit utilizatorilor locali să-şi mărească privilegiile ocupă o poziţie medie, B, pe
scara consecinţelor. Un utilizator local, adică un utilizator care are un cont şi o parolă pe un anume calculator, va
putea, în sistemele de operare de tip UNIX, să-şi crească privilegiile până la cele de root.
Vulnerabilităţile care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat fac parte din
clasa A, pe scara consecinţelor. Aceste atacuri sunt cele mai periculoase şi mai distructive. Multe atacuri se bazează
pe o slabă administrare a sistemului sau pe configurarea greşită a acestuia.
Ca exemple se pot da următoarele cazuri:
• fişierul test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta conţinea o eroare care permitea
intruşilor din exterior să citească conţinutul directorului CGI.
• fişierul convert.bas a reprezentat o vulnerabilitate a serverelor HTTP de pe platformele Novell. Scriptul era scris
în Basic şi permitea utilizatorilor de la distanţă să citească orice fişier sistem.
• multiple vulnerabilităţi au fost descoperite la serverele IIS (versiunea 5.0, 5.1) de la Microsoft.
Vulnerabilităţile din clasa A pot fi întâlnite şi la următoarele programe: FTP, Goopher, Telnet, NFS, ARP,
Portmap, Finger.
Ameninţările la adresa securităţii se pot clasifica în trei categorii: naturale şi fizice, accidentale, intenţionate.
1. Ameninţările naturale şi fizice vin din partea fenomenelor naturale sau a altor elemente fizice care
interacţionează cu calculatoarele. Se pot enunţa aici cutremurele, inundaţiile, furtunile, fulgerele, căderile de
tensiune şi supratensiunile etc. Se poate acţiona în sensul minimizării efectelor ameninţărilor sau chiar al eliminării
acestora. Se pot instala dispozitive de avertizare în caz de dezastre naturale sau dispozitive care să elimine efectul
acestora.
2. Ameninţările cu caracter neintenţionat vin din partea oamenilor. Aceştia pot produce ameninţări şi dezastre
asupra calculatoarelor din cauza neglijenţelor în manipularea diferitelor componente, insuficientei pregătiri
profesionale, citirii insuficiente a documentaţilor etc.
3. Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi: interne; externe.
a. ameninţările interne vin din partea propriilor angajaţi. Aceştia au acces mai uşor la informaţie, având de trecut
mai puţine bariere şi ştiind şi o parte din politica de securitate a firmei.
b. ameninţările externe vin din partea mai multor categorii, şi anume: agenţii de spionaj străine; terorişti şi
organizaţii teroriste; criminali; raiders; hackeri şi crackeri.
Agenţiile de spionaj străine au tot interesul să intre în posesia de informaţii referitoare la noile tehnologii.
Firmele producătoare de înaltă tehnologie sunt ţinta atacurilor care vin din partea acestora. Se impune ca aceste
firme să folosească tehnologii şi programe de criptare foarte sofisticate pentru a proteja informaţiile.

2
 3. Măsuri de contracarare
Tehnologiile de restricţie sunt menite să limiteze accesul la informaţie. Din această categorie fac parte:
• Controlul accesului este un termen folosit pentru a defini un set de tehnologii de securitate care sunt proiectate
pentru restricţionarea accesului. Aceasta presupune ca numai persoanele care au permisiunea vor putea folosi
calculatorul şi avea acces la datele stocate. Termenul de control al accesului (acces control) defineşte un set de
mecanisme de control implementate în sistemele de operare de către producători pentru restricţionarea accesului. De
această facilitate beneficiază sistemele de operare Windows, UNIX, Linux etc.
• Identificarea şi autentificarea, folosindu-se de conturi şi parole, permit doar accesul utilizatorilor avizaţi la
informaţie. Identificarea şi autentificarea poate fi făcută şi cu ajutorul cartelelor electronice (smart card) sau prin
metode biometrice. Acestea presupun identificarea după amprentă, voce, irisul ochiului etc.
• Firewall-ul reprezintă un filtru hardware sau software care stopează un anumit trafic prestabilit din reţea şi
permite trecerea altuia. Firewall-ul se interpune între reţeaua internă şi Internet şi filtrează pachetele care trec. De
asemenea, firewall-ul poate fi folosit şi în interiorul propriei reţele pentru a separa subreţelele cu nivele diferite de
securitate.
• VPN-urile permit comunicarea sigură între două calculatoare aflate într-o reţea. O conexiune VPN se poate
realiza atât în reţeaua locală, cât şi în Internet. VPN foloseşte tehnologii de criptare avansată a informaţiei care face
ca aceasta să nu poată să fie modificată sau sustrasă fără ca acest lucru să fie detectat.
• Infrastructura cu chei publice (PKI) îşi propune să asigure securitatea în sisteme deschise, cum ar fi Internetul,
şi să asigure încrederea între două persoane care nu s-au cunoscut niciodată. Într-o structură PKI completă, fiecare
utilizator va fi complet identificat printr-o metodă garantată, iar fiecare mesaj pe care-l trimite sau aplicaţie pe care
o lansează este transparent şi complet asociat cu utilizatorul.
• Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite criptarea şi autentificarea
comunicaţiilor Web utilizând PKI pentru autentificarea serverelor şi a clienţilor. Lucrează foarte bine cu servere
WWW. Este implementat în mai multe versiuni. Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea
mai sigură, dar este mai greu de implementat.
• Semnătură doar o dată (SSO) doreşte să debaraseze utilizatorul de mulţimea de conturi şi parole care trebuie
introduse de fiecare dată când accesează şi reaccesează programe. Pentru aceasta utilizatorul trebuie să se autentifice
o singură dată. Dezideratul este greu de realizat datorită varietăţii de sisteme. Deocamdată acest lucru se poate
realiza în cadrul firmelor care au acelaşi tip de sisteme. Web-ul foloseşte un subset SSO numit Web SSO,
funcţionarea fiind posibilă datorită faptului că serverele Web folosesc aceeaşi tehnologie.
Pe lângă tehnologiile de restricţionare, securitatea sistemelor trebuie administrată, monitorizată şi întreţinută.
Pentru aceasta trebuie efectuate următoarele operaţii:
• administrarea;
• detectarea intruşilor;
• scanarea vulnerabilităţilor;
• controlul viruşilor.
Administrarea sistemelor de calcul presupune controlul şi întreţinerea modului de acces la acestea de către
utilizatori. Un utilizator care foloseşte o parolă scurtă sau care este uşor de ghicit va face ca acel calculator să fie
uşor de penetrat. Atunci când un angajat este concediat sau pleacă pur şi simplu din alte motive de la firma
respectivă, trebuie schimbate denumirile utilizatorului şi parola.
Denumirea user-ului şi a parolei trebuie făcută cu foarte mare atenţie şi mare responsabilitate. Sarcina este
de competenţa persoanei însărcinate cu securitatea. Parolele vor conţine atât cifre, cât şi litere, pentru a face ghicirea
lor cât mai grea, şi vor fi schimbate periodic. Divulgarea parolei altor persoane va fi sancţionată administrativ.
Detectarea intruşilor trebuie făcută permanent. Pentru aceasta există programe care controlează traficul şi
care ţin jurnale de acces (log). Verificarea se va face la nivelul fiecărui calculator din firmă. Trebuie făcută aici
distincţie între încercările de intruziune din afară şi cele din interior. De asemenea, trebuie separate încercările de
acces neautorizat din reţeaua internă de accesul neautorizat la un calculator lăsat nesupravegheat de către utilizator.
Scanarea vulnerabilităţii, care este de fapt o analiză a vulnerabilităţii, presupune investigarea configuraţiei
la nivel intern pentru detectarea eventualelor găuri de securitate. Acesta se face atât la nivel hardware, cât şi

3
software. Folosirea unui scanner de parole va avea ca efect aflarea parolei în câteva secunde, indiferent de lungimea
acesteia.
Controlul viruşilor se va face pentru a detecta şi elimina programele maliţioase din sistemele de calcul.
Acestea se pot repede împrăştia la toate calculatoarele din sistem şi pot paraliza funcţionarea acestora sau pot
produce distrugeri ale informaţiei. Se impune obligatoriu să fie instalate programe antivirus, actualizarea
semnăturilor de viruşi să se facă cât mai des, iar scanarea pentru detectarea viruşilor să se facă de oricâte ori este
nevoie.
În concluzie:
1. Asigurarea securităţii datelor în cadrul firmelor este strâns legată de posibilităţile financiare ale firmei în a
investi în asigurarea securităţii. Firmele mari şi medii, care au şi câştiguri pe măsură, fac investiţii în securitate.
Firmele mici nu fac astfel de investiţii decât foarte rar şi insuficient pentru a se asigura cu o securitate minimă.
2. Asigurarea securităţii datelor în cadrul firmelor depinde în mare măsură de cât de conştientă este conducerea
firmei de faptul că trebuie asigurată o minimă securitate. Conducerea firmelor mari este asigurată de către un
consiliu de administraţie (board), unde decizia de a se investi în securitate este luată de un grup de oameni care ştiu
ce înseamnă riscurile. Acesta va trebui să fie conştient că trebuie asigurată securitatea datelor şi să dispună alocarea
de resurse financiare îndeplinirii acestui deziderat. Unii manageri din această categorie văd asigurarea securităţii
datelor ca un fel de gaură neagră, unde banii se duc şi nu aduc nici un beneficiu. Un rol important în conştientizarea
asigurării securităţii datelor îl au, în acest caz, consultanţii pe probleme de securitate sau membrii echipei IT&C
(dacă există) din firmă.
3. În cadrul firmelor mari există personal specializat în asigurarea securităţii datelor. Acesta va implementa
politica de securitate a firmei şi va testa periodic calculatoarele din firmă pentru descoperirea golurilor de securitate.
4. În cazurile în care firma, indiferent de mărime, nu are personal specializat cu studiul, implementarea şi
gestionarea măsurilor de securitate, se poate face apel la firme specializate care să implementeze şi să gestioneze
serviciile de securitate. Se poate opta şi pentru soluţia mixtă în care studiul şi implementarea să se facă de către o
firmă specializată, iar gestionarea acestora să se facă de către beneficiar, urmând ca periodic să se facă testări de
către firma specializată.
5. Programele aplicative la nivelul firmelor mari şi medii sunt elaborate luându-se în considerare şi securitatea
datelor. Firmele mici folosesc ori programe piratate, ori aplicaţii create de nespecialişti care nu numai că nu au
elemente de securitate încorporate, dar, în anumite cazuri, funcţionează şi defectuos, alterând datele.
6. Personalul angajat al unei firme nu are întotdeauna pregătirea necesară utilizării calculatorului. Firmele mari
îşi permit să angajeze personal cu calificare înaltă, în timp ce firmele mici nu-şi pot permite acest lucru. Firmele
mari fac eforturi pentru pregătirea angajaţilor, în timp ce firmele mici fac eforturi reduse sau deloc în ceea ce
priveşte pregătirea personalului. În noua structură a societăţii informaţiei şi comunicaţiilor activităţile comerciale se
împletesc cu tehnologia, iar structurile tradiţionale comerciale devin mai puţin importante. Creşterea accelerată a
comerţului mondial şi obţinerea unor beneficii substanţiale e posibilă prin utilizarea tehnologiei informaţiei şi
comunicaţiilor, care trebuie să conveargă cu reducerea constrângerilor de natură juridică, procedurală, fizică, care
pot să îngreuneze acest proces. Una dintre noţiunile nou apărute este promovarea produselor şi serviciilor, prin
utilizarea celor mai potrivite tehnici de marketing cu ajutorul tehnologiilor informaţiilor şi comunicaţiilor numită
cybermarketing. Astfel, în viziunea ITC, mixul de cybermarketing are drept componente: produsul; utilizatorii ţintă;
preţ/plată; publicitate/media; logistică. Cei interesaţi de noua abordare sunt cei direct implicaţi în comerţul
electronic, ei necesitând asistenţă şi pregătire de specialitate la diferite nivele:
• exportatori: atât manageri, cât şi operatori (IMM-uri şi companii mari);
• servicii implicate în activitatea comercială: transportatori, instituţii financiare şi de asigurări, avocaţi,
consultanţi marketing, agenţii de publicitate;
• instituţii de facilitare a comerţului, organizaţii de promovare ale exporturilor, asociaţii, puncte comerciale
Trade Points, Camere de Comerţ;
• furnizorii de servicii Internet;
• instituţii guvernamentale;
• centre de perfecţionare şi scoli de afaceri, specializate în marketingul internaţional.