بخشی از پاورپوینت
اسلاید 1 :
به نام خدا
ارائه درس سیستمهای مدیریت امنیت اطلاعات
موضوع: امنیت در تجارت الکترونیک
اسلاید 2 :
فهرست مطالب:
مفهوم کلی تجارت الکترونیک
تعریف امنیت
4 اصل بقای امنیت در دنیای الکترونیک
اهمیت امنیت در تجارت الکترونیک
برنامه جامع امنیت تجارت الکترونیک
مراحل ایجاد برنامه جامع تجارت الکترونیک
تحقیقات انجام شده درمورد امنیت تجارت الکترونیک
DHS
عوامل دخیل در تجارت الکترونیک
امنیت در تجارت الکترونیک
حملات بخش تولید
حملات بخش ارائه
حملات بخش انتقال
حملات بخش دریافت
راهکار های مقابله
رویکرد پاسخگویی به مخاطرات
بخش تولید
بخش ارائه
بخش انتقال
بخش دریافت
راهکارهای کلان
نتیجه گیری
اسلاید 3 :
مفهوم کلی تجارت الکترونیک
هرگونه کار تجاری در بستر الکترونیکی]اینترنت،کامپیوتر،تلفن همراه و.[
انجام کارهای بانکی بصورت الکترونیکی (بانکداری الکترونیک)
داد و ستد الکترونیکی (تجارت الکترونیک)
تعریف امنیت
Webster: امنیت به معنای کیفیت یا حالت امن بودن، رهایی از خطر، ترس و احساس نگرانی و تشویش
4 اصل بقای امنیت در دنیای الکترونیک
محرمانگی (Confidentiality): اطلاعات برای افراد مجاز قایل دسترس و تغییر باشد
تمامیت (Integrity): از تغییر غیرمجاز جلوگیری و درصورت دستکاری غیر مجاز اطلاعات ، تغییر تشخیص داده شود
دسترس پذیری (Availability): در دسترس بودن اطلاعات به هنگام نیاز افراد
انکار ناپذیری (Non-Repudiation): حین انجام کار ویا دریافت اطلاعات یا سرویس، دو طرف انجام دهنده و گیرنده نتوانند انکار کنند
اسلاید 4 :
اهمیت امنیت در تجارت الکترونیک
بسیاری از شرکت ها دریافته اند که برای موفقیت در تجارت الکترونیک، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت های تجارت الکترونیک آنها می شود جلوگیری کنند.
برنامه جامع امنیت تجارت الکترونیک
شامل برنامه های حفاظتی که از فناوری های موجود (نرم افزار و سخت افزار)، افراد، برنامه ریزی راهبردی استفاده می کنند و برنامه های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می شوند ، است. برای بقاء کلی فعالیت های تجارت الکترونیک شرکت حیاتی است. موفقیت چنین برنامه هایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیت های برنامه است. برای اطمینان از بروز بودن این برنامه و ابزار های آن و هماهنگی با آخرین فناوری ها و فنون مدیریت، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.
اسلاید 5 :
مراحل ایجاد برنامه جامع
انجام یک ارزشیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه ریزی شرکت
ارزیابی آسیب پذیری سیستم تجارت الکترونیک از دوجنبه تهدیدات داخلی و خارجی
ایجاد یک طرح مستمر که شامل تمام نقاط ضعف احتمالی ، روشهای جلوگیری و مقابله با آنها و برنامه های محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است. حتی با وجود برنامه های ضد ویروس و دیوار ها آتش، سیستم های تجارت الکترونیک با این ضعف ها روبرو است:
آتش سوزی و انفجار
خرابکاری عمدی در سخت افزار، نرم افزار و یا داده ها و اطلاعات
دزدیده شدن نرم افزار و سخت افزار
فقدان پرسنل کلیدی امنیت تجارت الکترونیک
فقدان برنامه های کاربردی
فقدان فناوری
فقدان ارتباطات
فقدان فروشندگان
اسلاید 6 :
تحقیقات انجام شده درمورد امنیت تجارت الکترونیک
مشهورترین سازمان هایی که به تحقیق در این زمینه می پردازند، موسسه امنیت رایانهComputer Squad Intrusion (CSI) و Federal Bureau Investigation (FBI) هستند.
طبق بررسی های انجام شده توسط این دو سازمان به طور کلی سوء استفاده از سیستم های کامپیوتری و سایر اقدامات ضد امنیتی با روندی نزولی روبه روست.
بر خلاف کاهش بیان شده در بررسی CSI/FBI ، تحقیقات Computer Emergency Response Team (CERT) ، دانشگاه Carnegie Mellon بیانگر افزایشی روز افزون در زمینه جرائم الکترونیکی است.
CERTتحقیقاتی است که بودجه آن توسط دولت آمریکا تامین شده و در مرکزی در موسسه مهندسی نرم افزار دانشگاه CMU انجام می شود. این موسسه تحقیقاتی، در سال 1988 جهت رسیدگی به مسائل امنیتی در اینترنت به وجود آمده است.
اسلاید 7 :
DHS
در ایالات متحده، مسئولیت عمده برقراری امنیت در دنیای مجازی از طریق بخش DHS صورت می گیرد. برای تامین این هدف (ایمن سازی فضاهای مجازی)، DHS نیز به ایجاد یک بخش خصوصی به نام The Strategy National پرداخته است .
راهبردهای بخش DHS از پنج اولویت ملی تشکیل شده است :
سیستم ملی پاسخگوی امنیت فضاهای مجازی
برنامه کاهش آسیب پذیری و خطرات احتمالی موجود در فضاهای مجازی
برنامه های آموزشی و آگاه کننده در زمینه امنیت فضاهای مجازی
ایمن سازی فضای مجازی دولت
همکاری های بین المللی و ملی در زمینه امنیت
اسلاید 9 :
امنیت در تجارت الکترونیک
استاندارد ISO 27001 :
مشخص کردن دارایی های سیستم
ارزش گذاری دارایی ها
بررسی خطراتی که متوجه هر دارایی است و اندیشدن راهکار مناسب برای هرکدام
خطرات بخش تولید
به منظور بدست آوردن اطلاعات محرمانه و یا ایجاد تغییری در سیستم، برای جعل هویت، دستکاری در مبلغ کل (کاهش آن) و یا حتی تغییری در صفحه اصلی بمنظور تخریب اعتبار آن
SQL Injection: وارد کردن دستور و عبارت قابل فهم برای SQL در قسمت ورود مقدار باعث بدست آوردن اطلاعات کاربران، اطلاعات کارت هاي اعتباري، جزییات مبادلات انجام شده و. می شود.
Cross-Site Scripting (XSS): فرستادن Script در فیلد هاي ورودي به منظور به دست آوردن اطلاعات مهم و یا ایجاد تغییر در کدهاي HTML که عمدتاً به دو صورت ذخیره شده و منعکس تقسیم می شود.
اسلاید 10 :
Price Manipulation: دستکاری قیمت
Buffer Overflow: مربوط به اشتباهات برنامه نویسی
افشا اطلاعات از طریق پیغامهای خطای سیستم به علت سرریز شدن بافر
توانایی هکر برای اجرای دستوری بر روی سرویس دهنده بوسیله این ضعف
Password Guessing: بدست آوردن غیر مجاز رمز عبور افراد
حمله واژه نامه ای
حمله های مبتنی بر آزمایش تمامی عبارات ممکن
حملات بخش ارائه
بیشتر تهدیدات این بخش مربوط به ضعف تکنولوژی است.
Malicious Code (Worm, Virus, …): باعث از کار افتادن سیستم بصورت اختلال در روند عادی سرویس دهی و درنتیجه از دست دادن دسترس پذیری
DoS (Denial of Service): از کار انداختن سیستم به علت وجود ضعف در آن یا حجم بالا تقاضا که باعث پرشدن طرفیت منابع سیتسم مانند حافظه و. می شود.
Vulnerability: آسیب پذیری ها
ابتدا توسط تیمهای هکری کشف و استفاده می شوند تا ارائه بسته رفع ضعف
اعمال نکردن بسته های امنیتی بعلت سهل انگاری یا عدم آگاهی در سرویس دهنده
اسلاید 11 :
حملات بخش انتقال
از مهمترین این تهدیدات، شنود اطلاعات مهم توسط یک فرد غیر مجاز است. شنود میتواند باعث افشا اطلاعات کارت اعتباری و یا شناسه کاربری شود یا از طریق شنود شناسه نشست، هکر ارتباط را کنترل و با جعل هویت خود کار انجا دهد.
Eavesdropping
Session Hijacking
Man-In-The-Middle
Reply Attack
جدا از این بحث، تهدید دیگری وجود دارد که ممکن است طی راه، کالا خراب شود.
اسلاید 12 :
حملات بخش دریافت
در این بخش هدف کاربران سیستم هستند
انکار سفارش: دریافت هزینه همزمان با تحویل کالا در محل مشتری
انکار دریافت کالا: عمدتا می تواند در نقل و انتقالات اینترنتی وجود داشته باشد به طوریکه دریافت کننده همواره انکار کننده دریافت سرویس و یا کالا می باشد.
کلاه برداری: شامل فریب دادن کاربران و دریافت اطلاعات کارت اعتباري آنها و یا دریافت هزینه اي بیشتر از قیمت کالا یا سرویس می باشد
مهندسی اجتماعی (Social Engineering): در واقع هک شدن ذات بشر می باشد به این منظور که با استقاده از ترفندهایی خاص در ارتباطات بشري هکر می تواند به اطلاعات مطلوب خود دست یابد و یا به نوعی آنها را متقاعد به انجام کاري بکند.
اسلاید 13 :
راهکارهای مقابله
رویکرد پاسخگویی به مخاطرات
اجتناب از خطر
انتقال خطر
کاهش خطر
پذیرش خطر
بخش تولید
طراحی ایمن و سپس برنامه نویسی ایمن
کنترل و بررسی صحت داده ها و مقادیر ورودی
استفاده از توابع Hash
استفاده از راهکار هایی مانند Captcha
بخش ارائه
بروز نگه داشتن همیشگی و بموقع محصولات
تنظیم صحیح و ایمن برنامه ها، سیستم عامل و سرویس دهندگان
حذف تمامی موارد غیر نیاز و غیر ضروری
اسلاید 14 :
بخش انتقال
استفاده از رمزنگاری و بررسی صحت اطلاعات (امضای دیجیتال و ..)
در خصوص خطر آسیب به کالاها هنگام ارسال می توان آن را به بیمه سپرد.
بخش دریافت
تایید شخص سوم جهت عدم انکار (روش تلفیقی از کلید عمومی و امضای دیجیتال)
شناسایی کامل افراد هنگام پرداخت هزینه و دریافت کالا
تایید شخص سوم برای احراز هویت دوگانه جهت پیشگیری از کلاه برداری
آموزش و آگاهی سازی در برابر خطر مهندسی اجتماعی
اسلاید 15 :
راهکارهای کلان
منبع تمامی خطرات گفته شده در سه مبحث زیر بررسی می شود:
ضعف تکنولوژی
ضعف دانش افراد استفاده کننده
اشتباهات انسانی
نتیجه گیری
می توانیم تمامی عوامل دخیل در تجارت الکترونیک را در چهار حوزه تولید، ارائه، انتقال و دریافت مورد بررسی قرار دهیم و بمنظور بررسی کردن امنیت در این حوزه ها می توانیم به طور کلی به بررسی و انطباق منابع خطرها با چهار حوزه یاد شده بپردازیم.
تمامی خطرات عمدتاً از سه حوزه ضعف تکنولوژي، ضعف دانش افراد استفاده کننده و اشتباهات انسانی ناشی می شوند که اگر مراتب تحلیل سیستم، توجه به امنیت در هنگام طراحی و پیاده سازي، بررسی دقیق و کنترل نهایی کار به هنگام پایان پیاده سازي و همچین آموزش صحیح و آگاهی رسانی مناسب امنیتی را در نظر داشته باشیم می توانیم تا حد بسیار خوبی خطرهاي امنیتی را کاهش دهیم.
