بخشی از مقاله
چکیده
با وجود تمام مزایایی که تجارت الکترونیک به همراه دارد، نیازمند یک محیط امن برای انجام تراکنش ها و ارتباطات آنلاین برای جلوگیری از خطرهای احتمالی از طریق سیستم های اطلاعاتی و رایانه ها می باشند. بدین ترتیب حفظ امنیت اطلاعات از مباحث مهم تجارت الکترونیک بهشمار میآید. هرچند امنیت مطلقوجود ندارد اما بهترین راهکار برای ایجاد یک محیط امن برای تجارت به صورت الکترونیک، شناسایی و دسته بندی خطرها و در نظر گرفتن راهبردهای امنیتی برای مقابل با این خطرها می باشد. علاوه بر آن در این مقاله استفاده از الگوریتم های رمزنگاری، امضای دیجیتال و گواهی دیجیتال به عنوان یک راهکار برای افزایش امنیت در تجارت های الکترونیکی مورد بحث قرار می گیرد.
واژه های کلیدی: تجارت الکترونیک، حملات امنیتی، رمزنگاری، راهبرد
-1 مقدمه
تجارت الکترونیکی یکی از مهمترین نتایج ”انقلاب فناوری اطلاعات و ارتباطات“ و از نمودهای بارز آن به شمار میآید. سازمان تجارت جهانی در اعلامیه مورخ 25 سپتامبر 1998 تجارت الکترونیکی، آن را چنین تعریف میکند: »تولید، توزیع، بازاریابی، فروش یا تسلیم کالاها و خدمات از طریق وسایل الکترونیکی«در سیستم های اقتصادی محصول نهایی که به عنوان خروجی سیستم فعالیت می باشد به دو دسته کالا و خدمات که می تواند به صورت ملموس و غیر ملموس باشد ارائه می گردد. در تجارت سنتی کالا و خدمات به صورت فیزیکی و ملموس ارائه می گردد ولی در تجارت الکترونیکی خدمات و اطلاعات مربوط به کالا به صورت الکترونیکی انتقال می یابد. رشد و تکامل سریع تکنولوژی محاسبات و ارتباطات و استاندارد سازی آن جهش بزرگی را در تجارت الکترونیک ایجاد کرده است.کاهش هزینه دسترسی، افزایش در سرعت انتقال و افزایش سهولت در دریافت خدمات و افزایش کیفیت ارائه خدمات از جمله دلایلی است که نیاز به تجارت الکترونیک را شدیدتر می کند.
-2 تعریف امنیت
بر اساس واژه نامه Webster، امنیت به معنای کیفیت یا حالت امن بودن، رهایی از خطر، ترس و احساس نگرانی و تشویش می باشد.[1] این تعریف در بحث تجارت الکترونیک نیز مورد کاربرد می باشد و حفظ و بقای آن در چهار اصل: محرمانگی1، تمامیت2، دسترس پذیری1 و عدم انکار2 خلاصه شده است.[2]امنیت به طور کلی عبارتست از حفاظت از آنچه برای ما ارزشمند است در برابر حملات عمدی و غیرعمدی که توسط سرویس ها و اشخاص صورت می گیرد.
-3 تجارت الکترونیکی3
خرید از طریق اینترنت یک نمونه از مثال تجارت الکترونیکی میباشد بطور کلی واژه تجارت الکترونیکی اشاره به معاملات الکترونیکی می نماید که از طریق شبکههای ارتباطی انجام میپذیرد و میتوان آن را به چند گروه: تجارت بین بنگاه و مصرف کننده یا مشتری - B2C - ، تجارت بین بنگاه و بنگاه - B2B - و تجارت بین مصرف کننده و مصرف کننده - C2C - تقسیم نمود. که در این میان فعالیتهای تجاری عمدتاً در چارچوب - B2B - و - B2C - متمرکز گردیدهاند. [3]ابتدا خریدار یا مصرف کنده به جستجوی یک فروشگاه مجازی از طریق اینترنت می پردازد و کالایی را از طریق وب یا پست الکترونیکی سفارش می دهد و نهایتا کالا را تحویل می گیرد. بدیهی است که به این ترتیب فرآیند خرید کالا به سادگی و سرعت انجام میپذیرد. صورتحساب نیز به طرق مختف از جمله بصورت نقدی، پس از تحویل جنس، واریز وجه به حساب بانکی فروشنده و یا از طریق کارت اعتباری می تواند پرداخت شود. بنابراین در بحث تجارت الکترونیک عواملی از قبیل برنامه های تحت وب4، سرویس دهنده، بستر ارتباطی و دریافت کننده که عمدتاً مشتری می باشد. تمام این عوامل در یک تعامل سازنده باعث ایجاد تجارت الکترونیک می گردند.
-4 قوانین حقوقی حاکم بر کسب و کار الکترونیکی5
استراتژیهای اینترنت بطور غیرقابل وصف چه به لحاظ پیادهسازی و چه بخاطر تغییرات سریع قوانین و قاعده های مربوط به خود در جهان، همواره نیاز به تغییر و تحول سریع در قوانین تجارت را طلب می نماید. در حالی که هم اکنون در دوران رشد و بلوغ اینترنت و کسب و کار الکترونیکی قرار داریم، هنوز بسیاری از سازمانها از تاثیراتی که به لحاظ بکارگیری اینترنت در زمینه های حقوقی ایجاد شده مطلع نمی باشند. در بررسی قوانین حاکم به اینترنت همواره ریسک را به عنوان یک ضریب مهم در کسب و کار تجاری میباید مدنظر قرار داد.برنامه ریزی ها نشان می دهد که در آینده تصویر بهتری از قوانین حاکم بر سازمانهای الکترونیکی در پیش رو خواهیم داشت.
-5 تجارت الکترونیک بهره ور
برای دستیابی به تجارت الکترونیک بهره ور که هم کارا و هم اثر بخش باشد به عوامل متعدد نیاز است:[4]
یک سیستم بانکی روان و دقیق
قوانین گمرکی، مالیاتی و بانکداری الکترونیک
کد تجاری محصول
تهیه و تدوین نظام ملی اطلاعات و نظام حقوقی اطلاعرسانی
امنیت اطلاعات
محرمانه بودن اطلاعات شخصی
تطبیق مقررات ملی با مقررات متحدالشکل بینالمللی
توسعه تکنولوژی عام مانند میکروالکترونیک، مهندسی نرمافزار
وجود یک بستر قانونی جهت اجرای تجارت الکترونیکی
همکاری دانشگاهها، مراکز تحقیقاتی و سازمانهای مختلف
پذیرش اسناد الکترونیکی توسط قوه قضاییه - بجای اصل سند مالکیت -
تامین صدور و بکارگیری کارت های اعتباری و نظام انتقال الکترونیکی اسناد توسط شبکه بانکی
تامین خطوط ارتباطی پرسرعت و مطمئن و ایجاد بستر مخابراتی به شکل بیسیم
معرفی مرجع نمون گواهی امضاء دیجیتالی در کشور و تایید احراز هویت خریدار و فروشنده توسط این مرجع.
-6 امنیت در تجارت الکترونیکی
منظور از امنیت، حفاظت داده ها در مقابل افراد غیرمجاز و خاطی در فرآیند تجارت الکترونیک میباشد اینترنت یک شبکه کاملاً باز است و تا هنگامی که تدابیر لازم جهت عدم امکان دسترسی اشخاص غیرمجاز به منظور در اختیار قرار گرفتن اطلاعات و مداخله در آنها پیشبینی نگردد اطلاعات میتواند مورد دستبرد یا دستکاری قرار گیرد.در بررسی امنیت هر سیستمی بنابر اصول مشخص شده در استاندارد ISO 27001 ابتدا بایستی دارایی های سیستم مشخص و ارزش گذاری شوند، پس از آن خطرات متوجه هر دارایی مورد بررسی قرار می گیرد و مطابق با هر خطر راهکاری اندیشیده می شود.[5]
برنامه کلان در خصوص امنیت در تجارت الکترونیک
به طور کلی شناسایی هویت1، رمزنگاری2 امضای دیجیتال و گواهی دیجیتال جز برنامه های کلان امنیت تجارت الکترونیک می باشد.
6-1 هویتشناسی
باید توجه داشت در فرآیندهای تجارت الکترونیکی حتی اگر مکانیزمهای رمزگذاری و رمزگشایی مورد استفاده قرار گیرند. هنوز هم میباید مشکلاتی را که میتواند به سبب استفاده غیرمجاز اشخاص بوجود آید را در مدنظر داشت.برای مثال شخصی غیرمجاز می تواند خود را اپراتور فروشگاه معرفی نماید و از خریداران بخواهد تا مبالغ صورتحساب های خود را به حساب او واریز نمایند بدون آنکه عملاً کالاهای سفارش شده را در اختیار خریداران قرار دهد و همچنین ممکن است فردی غیرمجاز با استفاده از مشخصات شخص دیگری اقدام به صدور سفارش نماید بدون آنکه مبالغ سفارش خود را پرداخت نموده باشد. در اینترنت بصورت فیزیکی دو طرف یکدیگر را مشاهده نمینمایند و اصولاً فروشگاه ها بصورت غیر فیزیکی و جازی می باشند به همین خاطرمتدهای مختلفی عرضه گردیده است تا هویت طرف مقابل را تائید نماید. اینگونه شناسائی ها می تواند از طریق ارائه کلمه عبور، اثر انگشت، امضاهای دستی و یا نظایر آن انجام پذیرد.[6]
6-2 رمزنگاری
استفاده از کلیدها جهت رمزگذاری و رمزگشایی، رمزنگاری گفته می شود. معمولترین شیوه جهت محافظت و امنیت دادهها روش رمزنگاری میباشد. در این روش اطلاعات با استفاده از یک کلید رمز شده و از طریق اینترنت ارسال می گردند و در طرف دیگر، گیرنده اطلاعات نیز از طریق یک کلید آنها را رمزگشایی نموده و می خواند. شخص ثالثی که فاقد کلید مربوطه باشد حتی در صورت در اختیار داشتن اطلاعات رمز شده، نمیتواند اطلاعات را بخواند.[7]
6-2-1 الگوریتم های رمزنگاری
در فرآیند رمزنگاری، سه دسته از الگوریتم های رمزنگاری اصلی به شرح زیر مورد استفاده قرار میگیرد:
الف الگوریتمهای Hash
الگوریتم Hash که مرسوم به Message-digest نیز می باشد در فرآیندهای ارسال و دریافت امضاء دیجیتال در تجارت الکترونیک مورد استفاده قرار می گیرد. این الگوریتم با دریافت پیامی با طول متغیر آن را به یک پیام خلاصه با طول ثابت تبدیل می نماید. نقطه قوت این الگوریتم در آن است که امکان نگاشت خلاصه پیام به پیام اولیه میسر نمیباشد.
ب الگوریتمهای Secret-Key
این الگوریتم ها یک کلید را هم به منظور رمزگذاری و رمزگشایی به طور مشترک مورد استفاده قرار میدهند و به آن کلید مشترک یا shared key اتلاق می گردد. این کلید مشترک معروف به کلید متقارن3 نیز می باشد به این الگوریتم یک کلیدی هم گفته می شود.
ج الگوریتمهای Public-key
در این الگوریتم یک زوج کلید موسوم به کلید عمومی4 و یک کلید خصوصی5 به کار گرفته میشود.این کلیدها اعداد اول هستند و نامتناهی بودن آنها در ریاضیات به اثبات رسیده است. در الگوریتمهای public-key پیام رمز شده با کلید عمومی با استفاده از کلید خصوصی متناظر با آن رمزگشایی می گردد و بالعکس، این الگوریتم ها کلید نا متقارن6 نامیده می شوند. این الگوریتم را زوج کلیدی یا دو دو کلیدی نیز می نامند.الگوریتم های رمزنگاری به هیچ عنوان مخفی نیستند از این رو کلیدها، رمز اصلی فرآیند رمزنگاری محسوب میگردند.از آنجاییکه احتمال یافتن کلید توسط افراد غیر مجاز همواره وجود دارد و برای پیدا نمودن کلید تنها نیاز به منابع محاسباتی نظیر CPU، فضای دیسک و پهنای باند زیاد می باشد تا با ایجاد یک شمارنده حالتهای مختلف آشکارسازی را آزمایش نمایند. بدیهی است هر چه طول کلید بیشتر باشد زمان پیدا نمودن کلید نیز افزایش مییابد و به امنیت ایده آلی دست خواهیم یافت که اصطلاحاً به این سطح امنیت در ارسال و دریافت اسناد مالی تحت اینترنت لایه امن7 گفته می شود.
6-3 امضای دیجیتال
امضا دیجیتال مجموعه ای از داده ها می باشد که به شکل یک واحد داده رمزگذاری و منتقل می شود و گیرنده می تواند اصالت فرستنده پیام را تشخیص دهد و از جعل جلوگیری می کند و باعث ایجاد امنیت می شود.امضا الکترونیک که دارای معنای عام تری نسبت به امضا دیجیتال می باشد و می تواند همان امضا دستی باشد که اسکن شده است و یا امضا دیجیتال که
