وبلاگ

مقالات سایت
امنیت در تجارت الکترونیک – بخش اول

امنیت در تجارت الکترونیک – بخش اول

مهر ۱۲, ۱۳۹۸

 

در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا می‌کند و حفاظت از آن امری ضروری است به این منظور یکی از وظایف مدیریت اطلاعات، تعیین اهداف امنیت متناسب با اهداف سازمان است.

 

گرچه بحث دسترسی به اطلاعات و از سوی دیگر امنیت و حفاظت از اطلاعات در سطح کشوری برای حکمرانان از زمان‌های قدیم مطرح بوده و دستیابی به اطلاعات نظامی و کشوری گاه موجب نابودی قومی شده است اما با توسعه فناوری اطلاعات و استفاده از اطلاعات به عنوان یک ابزار تجاری و سرمایه سودآور، بحث امنیت اطلاعات بُعد جدیدی به خود می‌گیرد.

در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا می‌کند و حفاظت از اطلاعات سازمان یکی از ارکان مهم بقای آن می‌باشد. جهانی شدن اقتصاد منجر به ایجاد رقابت در سطح جهانی شده و بسیاری از شرکت‌ها برای ادامه حضور خود در عرصه جهانی، ناچار به همکاری با سایر شرکت‌ها هستند. به این ترتیب، طبقه بندی و ارزش‌گذاری و حفاظت از منابع اطلاعاتی سازمان (چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم به شمار می‌رود. سیستم مدیریت اطلاعات ابزاری است در جهت طراحی پیاده سازی و کنترل امنیت نرم افزار و سخت افزار یک سیستم اطلاعاتی(Pipkin ,2000)

مسایل امنیتی در تجارت الکترونیکی

اینترنت به عنوان بستر انتقال اطلاعات در دنیای کنونی مطرح است. TCP/IP پروتکل انتقال اطلاعات در شبکه اینترنت است. با مطرح شدن اینترنت به طور گسترده، مسئله امنیت اطلاعات قابل انتقال، به شکل مشخصی بازگو شد زیرا اطلاعات مهم نیز از طریق این بستر فرستاده می‌شد. اطلاعاتی مثل شماره کارت اعتباری، فرم پرداخت و غیره از جمله مسایلی بود که احتیاج به امنیت بیشتری داشت. به همین دلایل امنیت در تجارت الکترونیکی جایگاه مهمی داراست.

به چند روش می‌توان در اطلاعاتی مداخله کرد که بین دو کامپیوتر مبادله می‌گردد و این روش‌ها عبارتند از:

۱ – استراق سمع: اطلاعات توسط فردی خوانده می‌شود و می‌تواند بعداً مورد استفاده قرار گیرد. مثل شماره حساب یک فرد، در این حالت محرمانه بودن اطلاعات از بین می رود؛

۲ – تغییردادن پیام: امکان دارد پیام هنگام انتقال تغییر کند و یا کلاً عوض شود و سپس فرستاده شود. مثلاً سفارش کالا می تواند تغییر یابد؛

۳ – تظاهرکردن: ممکن است شخصی خود را به جای یک سایت معرفی کرده و همان اطلاعات را شبیه سازی کند و پس از دریافت مقادیر قابل توجه هیچ پاسخی به خریداران نداده و ناپدید گردد.

روش‌های متفاوتی برای جلوگیری از این مسایل وجود دارد که یکی از آنها رمزدار کردن پیام است که خود به چند دسته تقسیم می‌گردد. دیگری درهم‌سازی و فشرده‌سازی پیام و تهیه DIGEST است. در امضای دیجیتالی عملاً تلفیقی از این روش‌ها مورد استفاده قرار می‌گیرد. انواع روش‌های رمزنگاری بدین شرح است:

رمزنگاری با کلید متقارن: در این روش از یک کلید استفاده می‌شود. بدین شکل که یک کلید مشترک بین طرفین وجود دارد. اطلاعات با این کلید رمزدار شده و فقط توسط طرف مقابل که دارنده کلید است قابل بازگشایی است. مشکل این روش، تبادل کلید قبل از رمزدارکردن پیام است.

رمزنگاری با کلید نامتقارن یا کلید عمومی: در این روش یک جفت کلید برای انتقال پیام استفاده می‌گردد. به این شکل که هرکاربر دارای یک کلید عمومی و یک کلید خصوصی است. کلید عمومی در یک دایرکتوری در اختیار هرکس می تواند قرار گیرد و کلید خصوصی هر فرد را، فقط خودش می‌داند. در ارسال پیغام از A به B ، ابتدا A پیام را با کلید خصوصی خود رمزدار کرده سپس با کلید عمومی پیام را ارسال می کند.

در طرف مقابل B پیام را با کلید عمومی رمزگشایی کرده و سپس با کلید خصوصی خود رمز را باز می‌کند و پیغام را مشاهده می‌کند. اشکال این روش این است که شخص ثالثی مانند C می‌تواند خود را به جای A معرفی کرده و پیامی را با کلید خصوصی خود و سپس کلید عمومی رمزدار کرده و برای B ارسال کند. در این روش B نمی‌تواند تشخیص دهد که پیغام ارسال شده حتماً از طرف A بوده است. امضای دیجیتالی به عنوان روشی برای جلوگیری از ایجاد این مشکل به وجود آمده است.

رمزنگاری بااستفاده از روش کلید عمومی با امضای دیجیتالی:

امضای دیجیتالی همراه با کلید عمومی، موجودیتی است که به شخص طرف مقابل این امکان را می دهد تا تشخیص دهد کسی را که پیغام را فرستــاده، همان کسی است که ادعا می‌کند، و پیغام دریافت شده همان پیغام ارسال شده است. (تصدیق اصالت).

در روش امضای دیجیتالی از کلید عمومی همراه با توابع HASH استفاده می‌شود. این کلید دارای یک تاریخ انقضا نیز هست که هرچه مدت اعتبارش کوتاه‌تر باشد اعتبار آن بالاتر است زیرا احتمال جعل آن بالا می‌رود. گیرنده پیغام امضای انجام شده را چک می‌کند تا از اصالت آن باخبر شود.

مراکزی که امضای دیجیتالی را در اختیار قرار می‌دهند خود از مراکز دیگری اعتبار گواهینامه را دریافت کرده‌اند. این مرکز موجودیتی است که اعتبار را برای یک فرد ایجاد می‌کند. چند نمونه از آنها XCERT ، VENSIGN ، THAWTE هستند که با دریافت وجه مشخصی این اعتبار را در اختیار قرار می‌دهند.

مدیریت امنیت اطلاعات

مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. همچنین مدیریت امنیت وظیفه پیاده سازی و کنترل عملکرد سیستم امنیت سازمان را بر عهده داشته و در نهایت باید تلاش کند تا سیستم را همیشه بروز نگه دارد.

هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه‌های سازمان (نرم افزاری، سخت افزاری، اطلاعاتی و ارتباطی و نیروی انسانی) در مقابل هر گونه تهدید اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سیستم و خطرات ایجاد شده از سوی کاربران است ( دشتی، ۱۳۸۴: ۱۵۹). و برای رسیدن به این هدف نیاز به یک برنامه منسجم دارد که سیستم امنیت اطلاعات راهکاری برای رسیدن به این هدف می باشد.

سیستم امنیت اطلاعات

یکی از وظایف مدیریت امنیت بررسی و ایجاد یک سیستم امنیت اطلاعات است که متناسب با اهداف سازمان باشد. برای طراحی این سیستم باید عوامل مختلفی را در نظر گرفت. محاسبه ارزش اطلاعات از نظر اقتصادی، بررسی خطرات و محاسبه خسارت‌های احتمالی و تخمین هزینه- سودمندی استفاده از سیستم امنیت اطلاعات، بررسی تهدیدات احتمالی و بررسی راهکارهای مختلف و انتخاب سودمندترین روش برای طراحی سیستم‌های امنیت اطلاعات ضروری بنظر می‌رسد(Pipkin, 2000).

مجموعه مراحلی که در طراحی یک سیستم امنیت اطلاعات در نظر گرفته می‌شود به شرح زیر می‌باشد:

آشنایی با منابع اطلاعاتی موجود در سازمان: مجموعه منابعی که یک سازمان در اختیار دارد شامل افرادی که در سازمان شاغل هستند، امکانات و سرمایه‌های مادی، اطلاعاتی و که حوضه‌های کاری را مشخص می‌کند و سازمان را از سایر سازمان‌ها جدا می‌کند، ساختارهای یک سازمان مثل نیروی برق، ارتباطات و تبادلات اطلاعاتی و غیره … می‌باشد.

بعلاوه طراح سیستم باید با مجموعه الگوریتم‌ها و نرم افزارهای سیستم اطلاعاتی سازمان، امکانات موجود در سازمان و فرآیند تولید و بازیابی اطلاعات و کاربران این اطلاعات آشنایی کامل داشته باشد. آشنایی با منابع مربوط به حوضه اطلاعات یک سازمان موجب درک وضعیت و میزان نیاز به امنیت و چگونگی اعمال راهکارهای امنیتی مناسب با آنها خواهد شد.

منبع:

www.magirans.com