وبلاگ

مقالات سایت
امنیت در تجارت الکترونیک – بخش دوم

امنیت در تجارت الکترونیک – بخش دوم

مهر ۱۲, ۱۳۹۸

آشنایی با منابع مربوط به حوضه اطلاعات یک سازمان، موجب درک میزان نیاز به امنیت می شود. انواع اشتباهات انسانی، طبیعی وسیستمی و سیاست‌های نادرست امنیتی و… سیستم اطلاعات را در معرض خطر قرار می‌دهد.

موارد که باید به دقت بررسی شود تا امنیت در تجارت به خوبی رعایت شود عبارتند از:

ارزیابی ارزش اطلاعات: قیمت گذاری اطلاعات به دو شکل قابل تخمین(محسوس) و غیر قابل تخمین ( غیر‌محسوس) قابل محاسبه است. اطلاعات موجود در سازمان مورد ارزیابی قرار گرفته و هزینه تولید آن به هر دو شکل باید محاسبه شود. علاوه بر این ضروری است ارزش هزینه تولید و هزینه تولید دوباره اطلاعات در صورت تهدید امنیتی و از بین رفتن اطلاعات محاسبه شود هزینه بازتولید اطلاعات شامل نیروی انسانی، ماشین، تجهیزات و زمانی است که صرف جمع‌آوری و ورود و هماهنگی اطلاعات خواهد و همچنین مقایسه آن با هزینه ایجاد امکانات حفظ اطلاعات مثل تهیه پشتیبان مناسب و بارگذاری به موقع اطلاعات و همچنین هزینه نرسیدن به موقع اطلاعات در هر یک از این مدل‌ها موجب می‌شود مدیریت امنیت اطلاعات سیستمی متناسب با ارزش اطلاعات سازمان طراحی کند(Pipkin 2000).

هزینه فاش شدن اطلاعات: مورد دیگری که باید به‌ دقت مورد بررسی قرار گیرد هزینه فاش سازی اطلاعات است اینکه چه اطلاعاتی با فاش شدن صدمات بیشتری به سرمایه‌های سازمان وارد خواهد کرد و به این ترتیب تعیین سطوح مختلف ارزش اطلاعاتی و سازمان‌دهی و طبقه‌بندی اطلاعاتی و هزینه افشا‌سازی هر یک از سطوح اطلاعاتی مسئله‌ای است که نباید در طراحی سیستم‌های اطلاعاتی مورد غفلت قرار گیرد(Pipkin 2000).

تهدیدات سیستم اطلاعاتی: مجموعه تهدیداتی که متوجه سیستم اطلاعاتی می‌باشد به دو صورت کلی می‌باشد برخی به صورت عمدی است مثل کلاهبرداری‌های اینترنتی، حملات ویروس‌ها و هکرها، و یا به صورت غیر عمدی صورت می‌گیرد مثل اشتباهات انسانی، مشکل سخت افزاری و نرم افزاری و بلایای طبیعی.

(انواع خطرهای تهدید کننده سیستم اطلاعاتی)

اشتباه‌های انسانی که بیشترین میزان خسارات از این طریق به سیستم اطلاعاتی وارد می‌شود. عدم ارائه آموزش‌های مناسب و عدم آگاهی و بروزسازی اطلاعات توسط کاربران و تولیدکننده، گاه اطلاعات و گاه بی‌توجهی آن‌ها در کار موجب تحمیل هزینه‌های سنگین بر سازمان می‌شود. که با آموزش مناسب بخش مهمی از مسایل مربوط به کاربران اطلاعاتی حل خواهد شد.

بی‌دقتی و بی‌توجهی کارمندان نسبت به مسایل امنیتی نیز گاه موجب بروز مشکلات می‌شود شخصی به عنوان منشی دفتر فنی به کارمندان زنگ زده و می‌گوید برای رفع مشکل امنیتی نیاز به اسم کاربری و کلمه عبور کارمندان بخش دارد احتمال اینکه از هر ۱۰۰ کارمند تعدادی به این سوال جواب دهند زیاد است. ممکن است پنجره ای باز شود و بگوید که اتصال شما به شبکه قطع شده برای وصل شدن اسم کاربری و کلمه رمز خود را وارد کنید (احترامی، ۱۳۸۳: ۱۳۸).

اینها مثال‌هایی هستند که در صورت سهل انگاری کاربران شرکت اطلاعات به راحتی در اختیار جاسوسان اطلاعاتی قرار می‌گیرد. نوع دیگر از خطراتی که توسط کاربران متوجه سازمان است شکل عمدی داشته و در این حالت سازمان باید با تعیین دقیق حدود اطلاعات و نیز دقت در انتخاب کاربران اطلاعاتی صدمات آن را تا حد امکان کاهش دهد.

در جهانی که اطلاعات سرمایه‌ای برای رقابت سازمان‌ها و شرکت‌ها می‌باشد، با داشتن امکانات و تجهیزات امنیتی نمی‌توان مطمئن بود که سیستم امن است، ممکن است مشاور یک شرکت برای رقیب نیز نقش مشاوره داشته باشد در این صورت احتمال فاش شدن اطلاعات سازمان شما وجود دارد. کارمندان خوب، وجود روابط مناسب و خوب در محیط کاری تا اندازه زیادی موجب کاهش این خطرات می‌شود(Pipkin 2000).

خطرات ناشی از عوامل طبیعی: سیل، زلزله، آنش سوزی، طوفان، صاعقه و غیره… جز عواملی هستند که هر سیستمی را تهدید می‌کنند. استفاده از تجهیزات مناسب و ساختمان مقاوم در مقابل بلایای طبیعی و طراحی نظام بازیابی مجدد اطلاعات تا حدی می‌تواند مشکلات ناشی از آن را کاهش دهد.

ایرادات سیستمی: مشکلات نرم افزاری و سخت افزاری سیستم ممکن است تهدیدی برای امنیت اطلاعات سیستم محسوب شود. امروزه سیستم‌های سخت افزاری و نرم افزاری نسبت به قبل بهتر شده است مشکلات سخت افزاری شامل توپولوژی نامناسب شبکه اطلاعاتی، تجهیزاتی که با هم هماهنگ نیستند، مشکلات مربوط به تجهیزات ارتباطات شبکه (کابل‌ها و مسیریاب‌ها ) و قطع و وصل برق و غیره بوده و از مشکلات نرم افزاری می‌توان به سیستم‌های موجود در سیستم نرم افزار که امکان حمله‌های هکرها را بیشتر می‌کند، عدم هماهنگی میان نرم افزار و سخت افزار اشاره کرد(Pipkin2000).

فعالیتهای خرابکارانه: مجموعه فعالیت‌هایی که توسط انسان یا ماشین در جهت حمله به سیستم اطلاعاتی و تهدید منابع و امکانات و در راستای تخریب، تغییر و یا فاش کردن اطلاعات یک سیستم انجام می‌شود. فعالیت‌های خلاف شامل سرقت امکانات سخت افزاری و نیز فعالیت‌هایی که به جرایم سایبرنتیکی معروف‌اند می‌شود. راهکارهای لازم برای حفاظت از مجموعه امکانات سازمان (چه امکانات و تجهیزات مربوط به سیستم اطلاعاتی و چه سیستم‌های دیگر سازمان) برای هر سازمان ضروری است.

دزدی رایانه‌ای وکلاهبرداری رایانه‌ای به ترتیب با ۱۹و ۱۳ درصد، هکرها با ۱۲ درصد و استفاده نامناسب از اطلاعات و ارائه اطلاعات نامناسب با ۸ درصد در رتبه‌های بعدی قرار دارند (Bainbridge287). کلاهبرداران اطلاعاتی از طریق به دست آوردن اطلاعات شخصی و شماره حساب‌های افراد از هویت آنها برای اعمال خلاف استفاده کرده و یا دست به دزدی از حساب‌های آنها می‌زنند.

هکرها با گشودن اطلاعات رمز گذاری شده سعی در افشای اطلاعات، حذف یا تغییر در اطلاعات موجود دارند. ویروس‌ها با حمله به کامپیوترها مشکلاتی برای سیستم نرم افزاری رایانه‌ها ایجاد می‌کنند و موجب اختلال در کارایی سیستم می‌شوند. مجموعه این جرایم در کل موجب فاش شدن غیر مجاز اطلاعات، قطع ارتباط و اختلال در شبکه، تغییر و دستکاری غیر مجاز اطلاعات یا یک پیغام ارسال شده، می‌شود و سیستم‌های اطلاعاتی بایستی تدابیر امنیتی لازم برای جلوگیری از این آسیب‌ها اعمال کنند.

اتخاذ سیاست‌های امنیتی: بر اساس استاندارد مواردی که یک سازمان برای پیاده سازی یک سیستم امنیتی اعمال می‌کند به شرح زیر می‌باشد:

` تعیین سیاست امنیتی اطلاعات

` اعمال سیاست‌های مناسب

` بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی

` بازرسی و تست امنیت شبکه اطلاعاتی

` بهبود روش‌های امنیت اطلاعاتی سازمان (دشتی، ۱۳۸۴: ۱۵۹)

در پیش گرفتن سیاست امنیتی باید با توجه بدین نکات باشد:

۱: ایجاد امنیت از نظر فیزیکی: همانگونه که در بخش‌های قبل اشاره شد امنیت تجهیزات و امکانات مادی در ایجاد یک کانال امن برای تبادل اطلاعات بسیار موثر است. انتخاب لایه کانال ارتباطی امن، انتخاب توپولوژی مناسب برای شبکه، امنیت فیزیکی، محل‌های امن برای تجهیزات، منابع تغذیه شبکه و حفاظت تجهیزات در مقابل عوامل محیطی مواردی است که در امنیت یک سیستم اطلاعاتی بسیار موثراند(بهاری، ۱۳۸۴).

۲: سطح بندی صحیح اطلاعات با توجه به ارزش اطلاعات و امکان دسترسی به موقع به اطلاعات برای کاربران هر سطح.

۳ آموزش کاربران اطلاعاتی سازمان در چگونگی استفاده از تجهیزات سخت افزاری و نرم افزاری سازمان و نیز آموزش راه‌هایی که نفوذگران برای کسب اطلاعات سازمان استفاده می‌کنند و هشدار به کارمندان در حفاظت از اطلاعات سازمان. از سوی دیگر ایجاد حس تعهد نسبت به شغل و سازمان در کارمندان از طریق اعمال مدیریت صحیح.

۴ رمزگذاری اطلاعات و استفاده از امضا دیجیتال در ارسال اطلاعات موجب افزایش ضریب اطمینان در تجارت الکترونیک خواهد شد.

۵ تغیر مداوم در الگوریتم‌های استفاده شده برای رمزگذاری در کاهش احتمال کشف رمز توسط نفوذ‌گران و کلاهبرداران اطلاعاتی بسیار موثر است.

۶ استفاده از انواع امکانات امنیتی ( البته باتوجه به نتایج ارزیابی سطح امنیتی مورد نیاز) از جمله استفاده از پراکسی که نقش ایجاد دیواره آتش (Firewall) فیلتر کردن (Filtering)، ثبت کردن (Logging) و تصدیق هویت (Authentication) را در شبکه بر عهده دارد و نیز استفاده از نرم افزارهای مقابله با ویروس‌ها.

۷ استفاده از تست نفوذ پذیری:رویه‌ای است که در آن میزان امنیت اطلاعات سازمان شما مورد ارزیابی قرار می‌گیرد.

یک تیم مشخص با استفاده از تکنیک‌های هک یک حمله واقعی را شبیه‌سازی می‌کنند تا به این وسیله سطح امنیت یک شبکه یا سیستم را مشخص کنند. تست نفوذپذیری به یک سازمان کمک می‌کند که ضعف‌های شبکه و ساختارهای اطلاعاتی خود را بهتر بشناسد و درصدد اصلاح آن‌ها برآید. این امر به یک سازمان کمک می‌کند تا در زمینه تشخیص، توانایی پاسخ و تصمیم مناسب در زمان خود، بر روی امنیت نیروها و شبکه خود یک ارزیابی واقعی داشته باشد. نتیجه این تست یک گزارش می‌باشد که برای اجرایی شدن و بازرسی‌های تکنیکی مورد استفاده قرار می‌گیرد(شریفی، ۱۳۸۳).

۸ با استفاده از یک سیستم پشتیبان گیری اطلاعات از احتمال از بین رفتن اطلاعات جلوگیری نمایید. سیستم پشتیبان گیری مناسبی را که سازگار با سیستم اطلاعاتی سازمان است انتخاب نموده و تست‌های مربوط به بازیابی اطلاعات را به صورت آزمایشی روی سیستم اعمال نمایید.

۹ به‌طور مرتب تجهیزات و سیستم اطلاعاتی سازمان را بازرسی نمایید و هر گونه مشکل را گزارش نموده و سعی در رفع آن نمایید. همچنین به‌طور مرتب سیستم اطلاعاتی و امنیتی سازمان را بروز رسانی کنید و آموزش کارمندان را به صورت مستمر ادامه دهید (دشتی، ۱۳۸۴: ۱۶۰)

منبع:

www.magirans.com