امنیت در تجارت الکترونیک – بخش اول
در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا میکند و حفاظت از آن امری ضروری است به این منظور یکی از وظایف مدیریت اطلاعات، تعیین اهداف امنیت متناسب با اهداف سازمان است.
گرچه بحث دسترسی به اطلاعات و از سوی دیگر امنیت و حفاظت از اطلاعات در سطح کشوری برای حکمرانان از زمانهای قدیم مطرح بوده و دستیابی به اطلاعات نظامی و کشوری گاه موجب نابودی قومی شده است اما با توسعه فناوری اطلاعات و استفاده از اطلاعات به عنوان یک ابزار تجاری و سرمایه سودآور، بحث امنیت اطلاعات بُعد جدیدی به خود میگیرد.
در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا میکند و حفاظت از اطلاعات سازمان یکی از ارکان مهم بقای آن میباشد. جهانی شدن اقتصاد منجر به ایجاد رقابت در سطح جهانی شده و بسیاری از شرکتها برای ادامه حضور خود در عرصه جهانی، ناچار به همکاری با سایر شرکتها هستند. به این ترتیب، طبقه بندی و ارزشگذاری و حفاظت از منابع اطلاعاتی سازمان (چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم به شمار میرود. سیستم مدیریت اطلاعات ابزاری است در جهت طراحی پیاده سازی و کنترل امنیت نرم افزار و سخت افزار یک سیستم اطلاعاتی(Pipkin ,2000)
مسایل امنیتی در تجارت الکترونیکی
اینترنت به عنوان بستر انتقال اطلاعات در دنیای کنونی مطرح است. TCP/IP پروتکل انتقال اطلاعات در شبکه اینترنت است. با مطرح شدن اینترنت به طور گسترده، مسئله امنیت اطلاعات قابل انتقال، به شکل مشخصی بازگو شد زیرا اطلاعات مهم نیز از طریق این بستر فرستاده میشد. اطلاعاتی مثل شماره کارت اعتباری، فرم پرداخت و غیره از جمله مسایلی بود که احتیاج به امنیت بیشتری داشت. به همین دلایل امنیت در تجارت الکترونیکی جایگاه مهمی داراست.
به چند روش میتوان در اطلاعاتی مداخله کرد که بین دو کامپیوتر مبادله میگردد و این روشها عبارتند از:
۱ – استراق سمع: اطلاعات توسط فردی خوانده میشود و میتواند بعداً مورد استفاده قرار گیرد. مثل شماره حساب یک فرد، در این حالت محرمانه بودن اطلاعات از بین می رود؛
۲ – تغییردادن پیام: امکان دارد پیام هنگام انتقال تغییر کند و یا کلاً عوض شود و سپس فرستاده شود. مثلاً سفارش کالا می تواند تغییر یابد؛
۳ – تظاهرکردن: ممکن است شخصی خود را به جای یک سایت معرفی کرده و همان اطلاعات را شبیه سازی کند و پس از دریافت مقادیر قابل توجه هیچ پاسخی به خریداران نداده و ناپدید گردد.
روشهای متفاوتی برای جلوگیری از این مسایل وجود دارد که یکی از آنها رمزدار کردن پیام است که خود به چند دسته تقسیم میگردد. دیگری درهمسازی و فشردهسازی پیام و تهیه DIGEST است. در امضای دیجیتالی عملاً تلفیقی از این روشها مورد استفاده قرار میگیرد. انواع روشهای رمزنگاری بدین شرح است:
رمزنگاری با کلید متقارن: در این روش از یک کلید استفاده میشود. بدین شکل که یک کلید مشترک بین طرفین وجود دارد. اطلاعات با این کلید رمزدار شده و فقط توسط طرف مقابل که دارنده کلید است قابل بازگشایی است. مشکل این روش، تبادل کلید قبل از رمزدارکردن پیام است.
رمزنگاری با کلید نامتقارن یا کلید عمومی: در این روش یک جفت کلید برای انتقال پیام استفاده میگردد. به این شکل که هرکاربر دارای یک کلید عمومی و یک کلید خصوصی است. کلید عمومی در یک دایرکتوری در اختیار هرکس می تواند قرار گیرد و کلید خصوصی هر فرد را، فقط خودش میداند. در ارسال پیغام از A به B ، ابتدا A پیام را با کلید خصوصی خود رمزدار کرده سپس با کلید عمومی پیام را ارسال می کند.
در طرف مقابل B پیام را با کلید عمومی رمزگشایی کرده و سپس با کلید خصوصی خود رمز را باز میکند و پیغام را مشاهده میکند. اشکال این روش این است که شخص ثالثی مانند C میتواند خود را به جای A معرفی کرده و پیامی را با کلید خصوصی خود و سپس کلید عمومی رمزدار کرده و برای B ارسال کند. در این روش B نمیتواند تشخیص دهد که پیغام ارسال شده حتماً از طرف A بوده است. امضای دیجیتالی به عنوان روشی برای جلوگیری از ایجاد این مشکل به وجود آمده است.
رمزنگاری بااستفاده از روش کلید عمومی با امضای دیجیتالی:
امضای دیجیتالی همراه با کلید عمومی، موجودیتی است که به شخص طرف مقابل این امکان را می دهد تا تشخیص دهد کسی را که پیغام را فرستــاده، همان کسی است که ادعا میکند، و پیغام دریافت شده همان پیغام ارسال شده است. (تصدیق اصالت).
در روش امضای دیجیتالی از کلید عمومی همراه با توابع HASH استفاده میشود. این کلید دارای یک تاریخ انقضا نیز هست که هرچه مدت اعتبارش کوتاهتر باشد اعتبار آن بالاتر است زیرا احتمال جعل آن بالا میرود. گیرنده پیغام امضای انجام شده را چک میکند تا از اصالت آن باخبر شود.
مراکزی که امضای دیجیتالی را در اختیار قرار میدهند خود از مراکز دیگری اعتبار گواهینامه را دریافت کردهاند. این مرکز موجودیتی است که اعتبار را برای یک فرد ایجاد میکند. چند نمونه از آنها XCERT ، VENSIGN ، THAWTE هستند که با دریافت وجه مشخصی این اعتبار را در اختیار قرار میدهند.
مدیریت امنیت اطلاعات
مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. همچنین مدیریت امنیت وظیفه پیاده سازی و کنترل عملکرد سیستم امنیت سازمان را بر عهده داشته و در نهایت باید تلاش کند تا سیستم را همیشه بروز نگه دارد.
هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایههای سازمان (نرم افزاری، سخت افزاری، اطلاعاتی و ارتباطی و نیروی انسانی) در مقابل هر گونه تهدید اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سیستم و خطرات ایجاد شده از سوی کاربران است ( دشتی، ۱۳۸۴: ۱۵۹). و برای رسیدن به این هدف نیاز به یک برنامه منسجم دارد که سیستم امنیت اطلاعات راهکاری برای رسیدن به این هدف می باشد.
سیستم امنیت اطلاعات
یکی از وظایف مدیریت امنیت بررسی و ایجاد یک سیستم امنیت اطلاعات است که متناسب با اهداف سازمان باشد. برای طراحی این سیستم باید عوامل مختلفی را در نظر گرفت. محاسبه ارزش اطلاعات از نظر اقتصادی، بررسی خطرات و محاسبه خسارتهای احتمالی و تخمین هزینه- سودمندی استفاده از سیستم امنیت اطلاعات، بررسی تهدیدات احتمالی و بررسی راهکارهای مختلف و انتخاب سودمندترین روش برای طراحی سیستمهای امنیت اطلاعات ضروری بنظر میرسد(Pipkin, 2000).
مجموعه مراحلی که در طراحی یک سیستم امنیت اطلاعات در نظر گرفته میشود به شرح زیر میباشد:
آشنایی با منابع اطلاعاتی موجود در سازمان: مجموعه منابعی که یک سازمان در اختیار دارد شامل افرادی که در سازمان شاغل هستند، امکانات و سرمایههای مادی، اطلاعاتی و که حوضههای کاری را مشخص میکند و سازمان را از سایر سازمانها جدا میکند، ساختارهای یک سازمان مثل نیروی برق، ارتباطات و تبادلات اطلاعاتی و غیره … میباشد.
بعلاوه طراح سیستم باید با مجموعه الگوریتمها و نرم افزارهای سیستم اطلاعاتی سازمان، امکانات موجود در سازمان و فرآیند تولید و بازیابی اطلاعات و کاربران این اطلاعات آشنایی کامل داشته باشد. آشنایی با منابع مربوط به حوضه اطلاعات یک سازمان موجب درک وضعیت و میزان نیاز به امنیت و چگونگی اعمال راهکارهای امنیتی مناسب با آنها خواهد شد.
منبع:
www.magirans.com