اینستاگرام کالج مدیریت را دنبال کنید
/ در طراحی سایت / توسط

مفاهیم امنیت

زمان مطالعه: ۱۲ دقیقه
  1. حریم خصوصی -مفاهیم امنیت

مفاهیم امنیت ، موضوع حریم خصوصی با مفهوم ریسک اطلاعاتی مرتبط است. حریم خصوصی به عنوان حفاظت از اطلاعات شخصی در هنگام جمع آوری، ذخیره سازی، پردازش و نشر و تخریب تعریف شده است. حفظ حریم خصوصی فراتر از عدم اطمینان در ارائه اطلاعات شخصی بر روی یک وب سایت می باشد، بلکه شامل درجه و میزانی می شود که اطلاعات به اشتراک گذاشته می شود، اجاره داده می شود، یا به شخص ثالثی به انگیزه های مرتبط با بازاریابی فروخته می شود، اطلاق می شود. موضوعات اخلاقی در زمینه حفظ حریم خصوصی بسیار با اهمیت می باشد؛ به دلیل این که قوانین همگام با رشد اینترنت و وب سایت ها تغییر نمی یابند. نگرانی های مرتبط با حریم خصوصی منجر به عدم تمایل به ارائه برخط اطلاعات شخصی، عدم پذیرش تجارت الکترونیک، یا حتی عدم تمایل به استفاده از اینترنت شده است. نگرانی های مصرف کنندگان در خصوص حریم خصوصی نه تنها محدود به توسعه تجارت الکترونیک می شود، بلکه همچنین بر روایی و اعتبار پایگاه داده مصرف کنندگان تاثیر می گذارد که ممکن است منجر به هدف گیری نادرست مشتریان، به هدر رفتن تلاش ها و سرخورده شدن مشتریان شود. به منظور اجتناب از چنین اشتباهاتی، شرکت های اینترنتی می بایست  به مشتریان خود این اطمینان را بدهند که حریم خصوصی آن ها به خوبی حفاظت شده است؛ زیرا این موضوع اعتماد بین مشتریان و شرکت را کاهش می دهد. بنابراین، فعالیت های حفظ حریم خصوصی برای تامین کننده های برخط در واداشتن مشتریان به ارائه اطلاعات شخصی بسیار حیاتی است.

  1. امنیت فناوری اطلاعات -مفاهیم امنیت

موضوع امنیت فناوری اطلاعات از مووضعات مهم و دارای اولویت می باشد که در همه سازمان ها بخشی از تمرکز کاری نیروهای حوزه فناوری اطلاعات را بر خود معطوف کرده است. فناوری اطلاعات شامل فناوری هایی است که در خدمت ذخیره سازی، پردازش، انتقال و مدیریت اطلاعات است، اما امنیت فناوری اطلاعات به استفاده ایمن از این فناوری و اطمینان از وجود محیطی عاری از هرگونه تهدید باز می گردد. دو بخش مهم امنیت در فناوری اطلاعات شامل، امنیت رایانه و امنیت ارتباطات است که در زیر هر کدام را جداگانه توضیح می دهیم.

الف) امنیت رایانه

هدف از امنیت رایانه نگهداری از منابع اطلاعاتی در مقابل استفاده غیر مجاز، سوء استفاده و همچنین حفاظت در مقابل صدمات عمدی یا غیر عمدی، افشا و تغییر و اصلاح است.

ب) امنیت ارتباطات

حفاظت از اطلاعات در طی انتقال بین سیستم های رایانه ای و شبکه ها را امنیت ارتباطات گویند. باید دانست که به کارگیری فناوری اطلاعات در یک شبکه ارتباطی برای ارائه خدمات مورد نیاز می تواند همراه با خاطرات امنیتی متعددی باشد. در استفاده از خدمات شبکه های رایانه ای و دنیای مجازی سه مولفه اصلی برای ارائه چنین خدماتی در نظر گرفته شده است که شامل، کاربران انسانی، ماشین و فرایندهای رایانه ای می باشد که به آن ها عنصر نیز گویند که به تعریف آن ها می پردازیم.

کاربر- موجودیتی جوابگو و مسئول در قبال فعالیت های خود در تعامل با رایانه و شبکه است.

ماشین- موجودیتی دارای آدرس در یک شبکه ارتباطی که دارای نام و آدرس دهی خاص می باشد.

فرایند- عملیاتی که بر روی ماشین ها انجام می شود و معمولا با استفاده از مدل مشتری- سرویس دهنده فرایند سمت مشتری و سرویس دهنده را از هم تشخیص می دهند.

  1. تهدیدهای امنیتی -مفاهیم امنیت

مفاهیم امنیت ، چرا یک فرد به عملکرد امنیتی خاص نیاز دارد؟ چه اتفاقی روی می دهد اگر او این عملکرد را نداشته باشد؟ امروزه سیستم ها در معرض تهدیدها و حملات بسیاری قرار دارند. در اینجا عبارت «سیستم» به معنی یک سرویس در دسترس در شبکه ارتباطی نظیر اینترنت است. یک سرویس ممکن است سرویس ورود به یک کامپیوتر با یک سیستم عامل خاص، یا یک فروشگاه مجازی روی وب سایت یک تاجر باشد. کاربران و تامین کنندگان این سرویس ها از قبیل کاربران انسانی، کامپیوترها (میزبان ها)، و همچنین پردازش های کامپیوتری به عنوان عوامل اصلی به حساب می آیند. حملات وارد شده به یک سیستم می توانند به چند دسته تقسیم شوند:

شنود- قرار گرفتن بین دو نفر و خواندن پیام های دیگران

جعل هویت- ارسال و دریافت پیام ها با استفاده از هویت افراد دیگر

تغییر در پیام- قرار گرفتن بین افراد و تغییر پیام های ارسالی برای افراد دیگر

استفاده مجدد- استفاده از پیام های ارسال شده برای بدست آوردن مجوزهای افراد دیگر

عملیات نفوذ- سوء استفاده از قدرت فرد به منظور اجرای برنامه های مخرب

تحلیل ترافیک- مشاهده ترافیک ارسالی یا دریافتی سیستم یک فرد

محرومیت از سرویس- جلوگیری از دسترسی افراد احراز هویت شده به منابع مختلف

  1. تهدید مشتریان -مفاهیم امنیت

تا قبل از معرفی محتوای اجرایی وب، صفحات وب به طور کلی استاتیک بودند. کدهای اچ تی ام ال فقط توانایی لینک کردن صفحات مختلف را داشتند که شاید با این روش بتوان طوری صفحات را لینک داد که کاربر احساس کند با محتوای متنوعی سروکار دارد.

محتوای فعال -مفاهیم امنیت

اشاره به برنامه هایی دارد که به صورت شفاف در صفحات وب قرار گرفته شده اند. محتوای فعال می تواند اشکال گرافیکی در حال حرکت، دانلود، پخش صوتی و یا اجرای برنامه صفحه گسترده مبتنی بر وب باشد. محتوای فعال در تجارت الکترونیک نیز استفاده می شود. به طور مثال به جای خرید دستی می توانید یک سبد خرید اینترنتی داشته باشید و اقلام مورد نیازتان را در سبد قرار داده و در انتها توسط کارت خرید و یا روش پرداخت دیگری مبلغ محاسبه شده را پرداخت کنید. بهترین و شناخته شده ترین شکل محتوای فعال ایلت های جاوا، کنترل های اکتیویکس، جاوا اسکریپت و یک زبان سمت سرور است. از آنجائی که ماژول های محتویات فعال در صفحات وب جاسازی شده، می توان آن ها را به طور کامل و شفاف به هر کسی و در هر جایی انتقال داد. از این رو هر کسی می تواند محتوای مخرب در صفحات وب جاسازی کند، که به این تکنولوژی اسب های تروجان می گویند که بلافاصله شروع به اجرای فعالیت های مخرب می کنند.

یکی دیگر از روش های نفوذ کاربران، کوکی ها هستند. کوکی ها که عمدتا به صورت یک فایل بر روی سیستم کلاینت ذخیره می شوند به راحتی می توانند توسط مخربان مورد حمله و تغییر قرار گیرند.

تغییر کد -مفاهیم امنیت

زمانی که داده ها ارسال می شود، در راه انتقال داده ها توسط مخربان ربوده شده و در بعضی مواقع مخربان داده های ربوده شده را تغییر داده و با تغییرات جدید دوباره ارسال می کنند.

 

جایگزین سیستم سمت سرور با یک سیستم ناشناس -مفاهیم امنیت

در بعضی از مواقع قربانی به اشتباه با سیستم جعلی در ارتباط است و همه اطلاعات را در اختیار سارقین اینترنتی قرار می دهد. در این حالت قربانی به تصور این که با طرف قرارداد خود در حال انجام عملیاتی از جمله معادلات الکترونیکی است، همه اطلاعات را در اختیار سارقین قرار می دهد.

 

مفاهیم امنیت

مفاهیم امنیت – کالج مدیریت

  1. تهدید های کانال ارتباطی -مفاهیم امنیت

اینترنت، به عنوان زنجیره الکترونیکی در ایجاد ارتباط بین عوامل یک تجارت الکترونیکی است و برای ارتباط بین آن ها نیاز به کانال های ارتباطی است و این کانال های ارتباطی نیاز به امنیت دارند و اگر امنیت این کانال ها برقرار نباشد مهاجمین به راحتی به اطلاعات دسترسی پیدا خواهند کرد.

۵-۱٫ تهدیدهای تمامیت- در امنیت اطلاعات، تمامیت به این معناست که داده ها نمی توانند توسط افراد غیر مجاز ایجاد، تغییر و یا حذف گردند. یکی از سیاست های امنیتی کانال ارتباطی، رمزنگاری داده های ارسالی است. حال اگر امنیت داده ها را در نظر نگیریم، اطلاعات ربوده شده توسط سارقین به راحتی شناسایی می شوند.

 

۵-۲٫ تهدیدهای دسترسی پذیری- دسترسی پذیری به این معناست که تمامی داده های موجود در هنگام نیاز در دسترس باشند. تغییر ظاهر و جازدن مخربان به جای نمایندگی های مجاز یکی از عوامل تهدیدهای امنیتی است که قربانی به اطلاعات غیر مجاز دسترسی پیدا می کند.

 

۵-۳٫ تهدیدهای سرور- در زنجیره (مشتری- اینترنت- سرور) سرور سومین مکان دسترسی و همچنین در معرض خطر سرقت اطلاعات مشتریان و سازمان ها در تجارت الکترونیکی است. در نتیجه، باید امنیت سرور از ورود مهاجمان تضمین باشد.

۵-۴٫ تهدیدهای سرور اصلی- پاسخ به درخواست از مرورگرهای وب را از طریق پروتکل HTTP و اسکریپت های CGI  و همچنین چند نرم افزار سرور مانند FTP، پست الکترونیکی و نرم افزارهای دیگر صورت می گیرد. هرگونه خطا در هر یک از این عوامل امنیت را کاهش می دهد.

۵-۵٫ تهدیدهای بانک اطلاعاتی- همه اطلاعات خصوصی کاربران در بانک اطلاعاتی روی سرور قرار دارد و هرگونه نا امنی در سرور بانک اطلاعاتی باعث فاش شدن اطلاعات می شود و همچنین امکان دارد سارق به اطلاعات احراز هویتی شخص دستیابی پیدا کند.

۵-۶٫ تهدیدهای رابط گذرگاه مشترک- رابط گذرگاه مشترک (CGI)، به کارگیری انتقال اطلاعات از یک وب سرور به برنامه دیگری روی سرور مانند یک برنامه بانک اطلاعاتی است. از اسکریپت های CGI برای پردازش فرم های وب یا انواع URL ها استفاده می شود. برنامه CGI نا امن نخستین راه نفوذ مهاجم به یک وب سایت هستند. حال اگر مشکلات امنیتی در CGI پیش بیاید و یا برنامه ناامن دیگری جایگزین این برنامه شود امنیت کاهش می یابد.

۵-۷٫ هک شدن کلمه عبور- ساده ترین راه نفوذ به سیستم توسط مخربان، حدس کلمه عبور می باشد و باید کاربران در انتخاب کلمه عبور نهایت دقت را انجام دهند.

  1. مدیریت ریسک 

روند ارتقاء یک سیستم با کارکرد امنیتی همیشه با یک تحلیل کامل از بیشترین تهدیدهای احتمالی و آسیب های سیستم مرتبط با آن ها آغاز می شود. “تحلیل ریسک” به ارزیابی ارتباط بین جدیت یک تهدید، تکرار وقوع (احتمال)، و هزینه های اجرای یک مکانیزم محافظتی مناسب می پردازد. «جدیت» از طریق هزینه بازاریابی هر گونه آسیب وارده از سوی یک حمله موفقیت آمیز اندازه گیری می شود. جدول ۱ تحلیل ساده شده هزینه کل (۱ پایین ترین هزینه و ۹ بالاترین هزینه) را که توسط یک حمله خاص به وجود آمده، نشان می دهد. این مقیاس گاهی اوقات به عنوان «سطح ریسک» نیز اطلاق شده و کل روند، به نام «مدیریت ریسک» نامیده می شود. بدیهی است که اگر یک حمله اغلب به طور احتمالی رخ دهد و بسیار جدی باشد، بازیابی آن بسیار گران تمام خواهد شد. در نتیجه موجب طراحی و پیاده سازی محافظت های مناسب خواهد شد.

تحلیل ریسک می بایست در فاز برنامه ریزی، قبل از اجرای یک راهکار امنیتی خاص، انجام شود. با این وجود، از آنجایی که تمام سیستم هایی که به محافظت نیاز دارند، دارای پیچیدگی زیادی هستند، پس کسب اطمینان کامل از کافی بودن مکانیزم های امنیتی اجراشده، غیر ممکن است. اینترنت محیطی است که مدام در حال تغییر می باشد؛ پس در این محیط از لحاظ امنیتی، همواره آسیب های جدید و حملات موثرتر، قابل مشاهده هستند. این نقش «انطباق مدیریت» نامیده می شود که تحلیل می کند آیا مکانیزم های امنیتی ایجاد شده، محافظت مورد انتظار را ارائه می کنند یا خیر؟

جدول : سطوح ریسک

  احتمال خطر
میزان جدیت به ندرت نه اغلب اغلب
نه خیلی جدی ۱ ۲ ۳
جدی ۴ ۵ ۶
خیلی جدی ۷ ۸ ۹

  1. سرویس های امنیتی -مفاهیم امنیت

بر پایه نتایج تحلیل ریسک، شخص می تواند یک «سیاست امنیتی» که به وضوح مشخص می نماید چه مواردی باید ایمن شوند را تعریف نماید. یک سیاست امنیتی در اصل نمی تواند تمام ریسک های ممکن سیستم را پوشش دهد؛ اما نشان دهنده یک تبادل منطقی بین ریسک ها و منابع موجود خواهد بود. کارکردهایی که سیاست امنیتی را اجرا می کنند، به عنوان «سرویس های امنیتی» اطلاق می شوند. این سرویس ها توسط «مکانیزم های امنیتی» که به نوبه خود از سوی الگوریتم های رمزنگاری شده پروتکل های امن شناسایی می شوند، اجرا می گردند. «سازمان بین المللی استانداردسازی» یا ISO سرویس های امنیتی زیر را تعریف می کند:

۷-۱٫ احراز هویت- تضمین می کند که هویت فرد یا داده واقعی است.

۷-۲٫یکپارچگی داده- تضمین می کند که هیچ تغییری در داده از سوی افراد غیر مجاز صورت نگرفته است.

۷-۳٫عدم انکار- تضمین می کند که یک فرد نمی تواند اقدام انجام شده خود را در رابطه با داده ای خاص انکار کند.

سرویس احراز هویت می تواند تضمین کند که طرف برقرار کننده ارتباط، در واقع چه چیزی را درخواست می کند. این نوع احراز هویت «احراز هویت موجودیت نظیر» نامیده می شود. اگر یک سرویس احراز هویت ثابت کند که بخشی از اطلاعات از منبعی خاص نشات می گیرد، این پدیده «احراز هویت منبع اصلی» نامیده می شود. سرویس محرمانه بودن داده ها نیز ممکن است انواع مختلفی داشته باشد. برای تضمین محرمانه بودن داده ها بین دو طرف برقرار کننده ارتباط که شبکه ای ارتباطی بین هم ایجاد کرده اند، «سرویس محرمانگی ارتباط» مورد استفاده قرار می گیرد. اگر کانال ارتباطی، تنها منطقی باشد، این سرویس به عنوان «محرمانگی بدون اتصال» شناخته می شود. اگر محافظت تنها برخی از بخش های پیام مبادله شده مدنظر باشد، «سرویس محرمانگی گزینشی» مورد نیاز خواهد بود. برای نمونه وقتی پیام های HTTP از سوی SSL محافظت شده باشند، محرمانگی ارتباط وجود دارد. اگر تنها بخشی از پیام های HTTP رمزنگاری شوند (برای نمونه توسط S- HTTP)، محرمانگی گزینشی وجود خواهد داشت. در اصل محرمانگی جریان ترافیک از تحلیل ترافیک محافظت می نماید.

مشابه سرویس های محرمانگی داده، سرویس های یکپارچگی داده برای پروتکل های اتصال- محور و پروتکل های غیر اتصال- محور متفاوت هستند. آن ها حتی برای پروتکل های بدون اتصال نیز بازیابی پیام را ارائه می کنند. یکپارچگی داده ها نیز  می تواند تنها از زمینه های گزینشی پیام ها محافظت کند. مطابق با ISO، سرویس های عدم انکار می توانند از انکار مبدا داده یا تحویل داده ها جلوگیری کنند. دو احتمال دیگر نیز وجود دارد: عدم انکار ارسال و عدم انکار دریافت، با این حال، آن ها نیازمند یک زیرساخت بسیار قوی هستند که در این بخش مورد بررسی قرار نخواهند گرفت.

  1. مکانیزم های امنیتی – امنیت

این مکانیزم ها می توانند خاص یا فراگیر باشند. مکانیزم های امنیتی خاص که در زیر بیان شده اند، در اجرای سرویس های امنیتی قابل استفاده هستند:

  • مکانیزم های رمزنگاری
  • مکانیزم های امضای دیجیتالی
  • مکانیزم های یکپارچگی داده
  • مکانیزم های تبادل
  • مکانیزم های لایه گذاری ترافیک
  • مکانیزم های کنترل مسیریابی
  • مکانیزم های گواهینامه رسمی

مکانیزم های رمزنگاری از محرمانه بودن (یا شخصی بودن) داده ها محافظت می کند. یک مکانیزم رمزنگاری همیشه از کلیدی که تنها در اختیار گروهی تعریف شده از افراد قرار دارد، استفاده می کند. این گروه می تواند یک فرد (گیرنده داده های رمز گذاری شده) یا چندین فرد (برای نمونه تمام شرکت کنندگان در یک جلسه ارتباطی) را شامل شود.

همانطور که در ادامه خواهیم گفت، امضای دیجیتال نسبت به امضای دستی، از قدرت بیشتری برخوردار است که توسط یک مکانیزم خاص امضای دیجیتال و همچنین برخی مکانیزم های رمزنگاری ایجاد می شود. احراز هویت می تواند بر اساس یک مکانیزم رمزنگاری شکل گیرد، اما در صورتی که نیت آن سیاسی باشد، همیشه قانونی یا مطلوب نیست، بنابراین چندین مکانیزم که تنها هدفشان تبادل احراز هویت است، تعمیم یافته اند.

مکانیزم های کنترل دسترسی با احراز هویت ارتباط تنگاتنگی دارند. برای هر فرد، مجموعه ای از مجوزها یا حقوق دسترسی (برای نمونه خواندن، نوشتن، اجرا) تعیین می شود. هر دسترسی به یک منبع محافظت شده توسط یک رایانه مرکزی که    «دیده بان منبع» نامیده شده، کنترل می شود. به منظور امکان استفاده از مجوزهای دسترسی آن، یک فرد مجبور است در ابتدا به طور کامل احراز هویت شود. اگر کنترل دسترسی به طور صحیح انجام شود، بیشتر حملات نفوذی دیگر نمی توانند خطری ایجاد کنند.

مکانیزم های یکپارچگی داده از داده در برابر تغییرات غیر مجاز محافظت می کنند. برای نمونه، آن ها می توانند از امضاهای دیجیتال خلاصه پیام که توسط تابع هش رمزنگاری شده، محاسبه شده است، استفاده کنند.

مکانیزم های لایه گذاری ترافیکی مسئول محافظت در برابر تحلیل ترافیک هستند. گاهی اوقات، یک مهاجم برای نمونه می تواند از مشاهده یک تغییر در مقدار داده های مبادله شده بین دو فرد، نتایجی را به دست آورد. بنابراین، پیشنهاد می شود ترافیک مصنوعی برای حفظ ثبات تقریبی این لایه ایجاد گردد تا مهاجم نتواند هیچ گونه اطلاعاتی را از این طریق به دست آورد.

یک مکانیزم کنترل مسیریابی، امکان انتخاب یک مسیر خاص را برای ارسال داده ها از طریق یک شبکه میسر می سازد. در این مسیر، امکان انتخاب گره های شبکه مورد اعتماد وجود دارد تا داده ها در معرض حملات امنیتی قرار نگیرند. علاوه بر این، اگر داده هایی که به شبکه خصوصی وارد می شوند، دارای برچسب امنیتی مناسب نباشند، مدیریت شبکه می تواند تصمیم به رد آن ها بگیرد.

مکانیزم های گواهینامه رسمی توسط یک شخص سوم که از طرف تمام افراد حاضر تایید می شود، ارائه می شوند. این گواهینامه می تواند یکپارچگی، زمان، مبدا یا مقصد داده ها را تضمین نماید. برای نمونه، پیامی که می بایست در یک بازه زمانی خاص ارائه شود، ممکن است دارای برچسب زمانی از یک سرویس دهنده زمان قابل اعتماد، که در اصل زمان های ارسال را تعیین نموده، باشد. سرویس زمان می تواند در صورت لزوم، علاوه بر یک برجسب زمان، حاوی امضای دیجیتال نیز باشد.

 

منبع: کتاب مبانی تجارت الکترونیکی ابراهیم پور. قندور، رضوانی نژاد

نوشته های مشابه

خرده فروشی بر خط

دو سطح رابطه خرده فروشی -خرده فروشی بر خط خرده فروشی بر خط ، محققان درباره تفاوت های موجود بین…

مفاهیم طراحی سایت

درگیرسازی مشتری -مفاهیم طراحی سایت مفاهیم طراحی سایت ، تعامل های پیاپی که احساس و سرمایه فیزیکی یا روانی مشتری…