بخشی از مقاله
چکیده
امنیت اطلاعات، بخشی از چارچوب امنیت تجارت الکترونیکی است و به طور خاصی اجزاء تجارت الکترونیـک متشـکل از مـواردی چون امنیت کامپیوتر، امنیت داده ها میباشد و به عنوان یکی از بالاترین اجزای امنیتی قابل مشاهده است و طی آن کاربران نهـایی از طریق پرداختهای روزانه تعاملات خود را با کسب و کار ها برقرار میکنند و به طور خاصی بر یکدیکر تاثیر مـی گذارنـد. برقـراری امنیت، سبب میشود حفاظت از دارایی ها انجام یابد و از دسترسی و استفاده های غیرمجاز همچون تغییر و یا تخریب حفظ شـود. بنابراین تلاش درحفظ ، با مدیریت و دانش فنی، نیاز ضروری برای تمامی کـاربران میباشـد. لـذا بـا بوجـود آمـدن هـر فـن آوری پیشرفته، تهدیدها و فرصتهای جدیدی در انجام تجارت ایجاد میشود و با توسعه سریع تجارت الکترونیک، مسـائل امنیتـی همیشـه مورد توجه کاربران بوده است و امنیت تراکنش ها ، از مسائل اصلی و کلیدی توسعه تجارت الکترونیکی محسوب مـی شـوند. بـدین جهت میبایست ضمن آشنائی با ابزارهای امنیت، به برقراری انجام حداقل ریسک اشاره کنیم و همچنین بـا شـناخت از معروفتـرین استاندارد جهانی سیستم مدیریت امنیت اطلاعات، به تعریف ابزاری توانمند چون اختیاردهی بپردازیم و با نگاهی به چارت سازمانی، ازحملات متاثر از آن مطلع شویم و نکات پیشگیری را برای محافظت در محیط تجارت الکترونیک بیندیشیم.
واژه گان کلیدی: اختیاردهی، امنیت، تجارت الکترونیک، محافظت، اطلاعات.
1
-1 مقدمه
در تجارت الکترونیک امنیت و شخصی سازی را می توان به عنوان سوالات اخلاقی مشاهده نمـود. بنـا بـراین در هـر زمـان حفـظ امنیت و شخصی سازی باعث میشود مقدار زیادی از توجه به بخش بازرگانی جذب شود، زیرا به طور بالقوه ای، بسـیاری از فعالیـت ها در موفقیت یا شکست ها، که آشکارا به تجارت الکترونیک مشغول هستند با میـزان سـرمایه گـذاری در کسـب و کارهـا تعیـین میشود .[6]امنیت اینترنت به صورت یک مشکل مداوم و رو به رشد همیشه آشکار بوده و به عنوان فن آوری های مبتنی بر اینترنت وهمچنین بصورت برنامه های کاربردی جدید در حال توسعه، تبدیل شده است. تعداد حوادث مربوط به نقض امنیـت، همچنـان رو به افزایش است.
کشف آسیب پذیری های امنیتی جدید اینترنت، تقریبا هر روز وجود دارد. این کشف مـی توانـد بـه نقـص در نـرم افـزار و یـا، بـه خطاهای پیکربندی نرم افزار نسبت داده شده باشد. این آسیب پذیری می تواند گاها" مورد سوء اسـتفاده، افـرادی قـرار گیـ رد لـذا حفظ امنیت همیشه در الویت است و محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در اینترنت سه مفهوم اساسی امنیـت در تجارت است.[10]
همچنین درتجارت به روشنی می بینیم، که معاملات آنلاین به مصرف کننـدگانی نیـازدارد تـا بخـش زیـادی از اطلاعـات حسـاس شخصی خود را به فروشندگان فاش نمایند. با قرار دادن اطلاعات، خطرات قابل توجـه ای، متوجـه شـخص میگـردد و درک آن (در واقع، با تعریف دقیق تر) اعتماد مصرف کننده برای ادامه توسعه تجارت الکترونیک ضروری است .[17] بنابراین ضمن تاثیر امنیـت در تجارت، پیاده سازی حفاظت مصرف کنندگان و اعتماد نسبت به آنان، نقش کلیدی در نگرش تجـارت الکترونیـک دارد. بـا ایـن حال، اگر روند کالاها و خدمات در داخل و خارج به خوبی اجرا شده باشد، اطلاعات حیاتی نیز می تواند به طـور همزمـان پـردازش شود و با جریان داده ها مطابقت داشته باشد و در نتیجه انجام معاملات تجارت الکترونیک خـارجی، میتوانـد اجـازه دهـد یکپارچـه سازی فرآیندهای سازمانی به طورکارآمد و مؤثرتری صورت گیرد .[1]
در بسیاری از موارد رمزنگاری به عنوان رفع اساسی مشکل امنیتی در امنیت تجارت الکترونیک دیده مـی شـود. ارائـه بلـوک هـای اساسی درتکنولوژیهای امنیتی شبیه: الگوریتم های رمزنگاری و امضا دیجیتال و پروتکل هایی مانند (اس اس ال) را میتوان نام برد، طرح پرداخت الکترونیکی مانند SET (انتقال امن الکترونیکی) ، ابزار تشکیل دهنده نهایی کلیـد عمـومی و خصوصـی کـه تسـهیل درتجارت الکترونیکی امن است و غالبا"، تحلیلگران استناد به اعتماد و امنیت را به عنوان اهرم اصلی درمسیر رو به رشد در تجـارت الکترونیک میدانند 22]، 20 ، .[11 راه حل در مشکلات امنیتی ناشی از فعالیت های تجارت الکترونیکی رو به جلو، را میتوان از دو استراتژی تکنولوژی و سیستم، درجهت بهبود توسعه تجارت الکترونیکی و ترویج توسعه تجارت الکترونیکی نام برد .[23]
-2 سرویسهای امنیتی و پیشگیری از تهدید
بسیاری از پروتکلها برای انتقال داده ها و جهت ایمن بودن بر روی شبکه جهانی وب وجود دارند. سیستم های امنیتی قوی تنها به عنوان ضعیف ترین نقطه تلقی میگردند. تجارت از دفاع های امنیتی مانند فایروال ها، طرح های احراز هویت و رمزگـذاری تشـکیل شده است. برخی از انواع سرویس های امنیتی که در محیط های تجارت الکترونیک رخ می دهـد را میتـوان بـه مـوارد زیـر اشـاره نمود:[7]
• احراز هویت یا اعتبار سنجی( : ( Authentication فرستنده یا گیرنده هویت واقعی خود را برای طرف مقابل اثبات میکند.
• کنترل اختیارات یا اختیاردهی( : (Authorization یعنی هر طرف فعالیت، به چه سطح از اطلاعاتی دسترسی داشته و چه نوع
از عملیاتی ( رویت، حذف، تغییر، اضافه ) برایش مقدور باشد.[15]
• در دسترس بودن ( : (Availability خدمات باید همیشه در دسترس افراد مجاز باشد.
• محرمانگی اطلاعات : (Confidentiality) فقط فرستنده و گیرنده مورد نظر قابل به درک پیام باشند.
• بازرسی : (Auditing) امکان بررسی داده ها و اطلاعات موجود در سیستم ظبط رویدادها ( ( log file موجود باشد.[15]
2
• صحت داده ها یا تمامیت و جامعیت : (Integrity) یعنی عدم امکان دستکاری داده ها توسط افراد یا نرم افزارهای غیر مجاز. به بیانی دیگر اطلاعاتی که درون پیغام و یا تبادلات وجود دارد در طـول مسـیر بـه طـور اتفـاقی یـا عمـدی مـورد دسـتبرد قـرار نمیگیرند.
• انکارناپذیری : (Non-Repudiation) یعنی هیچکدام از طرفین ( فرستنده و گیرنده پیام )، امکـان انکـار عملکـرد خـود (ارسـال پیام) را نداشته باشد و یا به عبارت دیگر ارسال کننده نمی تواند منکر ارسال پیام یا تبـادل مـالی شـود و دریافـت کننـده هـم