طرح های پژوهشی دانشگاه ها درباره بررسی سطح امنیت در تجارت الکترونیک (مورد مطالعه شرکت های بازرگانی مشهد)- فایل ... |
 |
در گذشته پایگاه داده از طریق برنامه های کاربردی فقط برای کارکنان داخلی قابل دسترسی بود، اما در حال حاضر (به طور غیرمستقیم از طریق نرمافزار)، توسط هرکسی که به وبسایت دسترسی داشته باشد، قابل دسترسی است. اما باید در نظر داشت، داده ها از سرمایه های اصلی هر سازمان هستند که روز به روز بر میزان استفاده از آنها افزوده می شود و شامل داده های حساس مربوط به مسائل مالی و دارایی ها در تجارت الکترونیک، از جمله سوابق معامله، معاملات تجاری، حساب کاربر، برنامه های بازار و…. ، میباشند. باتوجه به اهمیت داده ها برای طرفین درگیر در تجارت الکترونیک، باید اطمینان حاصل کرد که امنیت آنها به طور کامل تضمین شده است. در حال حاضر تکنولوژیهای امنیتی پایگاه دادۀ تجارت الکترونیک در کنترل دسترسی به وب سایتها، احراز هویت کاربر، کنترل مجوزها، امنیت حسابرسی، پشتیبانی و بازیابی
اطلاعات، رمزنگاری داده و غیره مورد استفاده قرار میگیرند (هو[۱۲۸]، ۲۰۰۹). از اینرو امنیت پایگاه داده، شامل مجموعه ای از خدمات و مکانیزم های مرتبط است که حفاظت از اطلاعات را ایجاد می کند و موضوعات فیزیکی، از قبیل حفاظت از تجهیزات و امکانات، موضوعات منطقی، از جمله مدلهای کنترل دسترسی و موضوعات سازمانی، همچون قابلیت های اداره، معمولاً مخاطب آن قرار دارند؛ لذا سرویسهای امنیت پایگاه داده و مکانیزم های مرتبط با آن عبارتاند از اختیاردهی، محرمانگی، درستی، جوابگویی، دردسترس بودن، قابلیت اداره، تضمین و امنیت فیزیکی (بلانگر و همکاران، ۲۰۰۲).
بحث دیگری که مطرح می شود این است که رشد سریع اینترنت، بر اهمیت اتصال به پایگاه داده افزوده است و از سوی دیگر پایگاه دادۀ وب، شامل اطلاعات حساس، از قبیل شمارۀ کارت اعتباری است؛ از این رو امنیت محیط مجازی پایگاه داده، از زمانی که تعداد زیادی کاربر به اطلاعات شرکت دسترسی دارند، به چالش کشیده شده است. تجربه نشان داده است که برخی از پایگاههای داده، نام کاربری و رمزعبور را در راههای ناامن ذخیره می کنند؛ در این حالت اگر کسی اطلاعات تصدیق هویت کاربر را بهدست آورد، می تواند به عنوان یک کاربر مشروع پایگاه داده اطلاعات خصوصی و ارزشمند را فاش نماید.
علاوه براین اغلب، پایگاه داده در بسیاری از مکانها، بدون لایه های محافظتی قابل توجه مستقر شده است و همچنین شاهد انتشار مداوم فناوریهای جدید، توسط فروشندگان هستیم که شامل خدمات وب در پایگاه داده، اداره XML درون پایگاه داده، یکپارچهسازی با سرورهای برنامه و توانایی اجرای هرگونه برنامۀ منطقی به طور مستقیم، درون پایگاه داده میباشند. این موضوع برای توسعه دهندگان و افزایش بهرهوری بسیار مناسب است، اما باعث ایجاد یک کابوس امنیتی شده است؛ زیرا قابلیت های بیشتر، به معنی اشکالات بیشتری است که می تواند توسط هکرها مورد سوء استفاده قرار گیرد (ناتان، ۲۰۰۵). در این راستا تکنولوژی رمزگذاری، یکی از تکنولوژیهای مؤثر برای امنیت پایگاه داده میباشد؛ این تکنولوژی می تواند ما را از امنیت عمومی پایگاه داده مطمئن نماید، اما این که از امنیت پایگاههای دادۀ مهم مطمئن شویم، دشوار است. به طور کلی رویکردهای متفاوتی در زمینۀ امنیت پایگاه داده وجود دارد که یکی از آنها با تکیه بر مباحث محیطی، سخت شدن پایگاه داده میباشد. از سوی دیگر مباحثی از جمله مدیریت پایگاه داده و سیاستهای کنترل دسترسی نیز در این زمینه مطرح است که در ادامه به آنها اشاره خواهیم کرد.
سخت شدن محیط پایگاه داده:
سخت شدن فرآیندی است که در آن پایگاه داده، امنتر شده و گاهی به قفل کردن پایگاه داده اشاره دارد. هنگامی که محیط پایگاه داده سخت می شود، در واقع آسیبپذیریهای ناشی از سهلانگاری، در گزینه های پیکربندی حذف میگردد و حتی در این روش میتوان، آسیبپذیریهای ناشی از فروشنده یا اشکالات را جبران نمود. این فرایند شامل سه اصل عمده است:
قفل کردن دسترسی به منابع مهمی که میتوانند مورد سوء استفاده قرار بگیرند.
از کار انداختن کارکردهایی که برای پیادهسازی مورد نیاز نیستند و حضورشان می تواند زمینۀ سوء استفاده را فراهم آورد.
مباحث مرتبط با حداقل امتیازات (ناتان، ۲۰۰۵).
از سوی دیگر، سیستم مدیریت پایگاه داده، کلکسیونی از داده های مرتبط به هم و برنامههایی برای دستیابی به آن داده ها میباشد که این کلکسیون داده ها، معمولاً پایگاه داده نامیده می شود و حاوی اطلاعات مربوط به یک شرکت است. هدف اولیۀ سیستم مدیریت پایگاه داده، ارائۀ روشی آسان و کارآمد، برای ذخیره و بازیابی اطلاعات پایگاه داده است و هدف از طراحی سیستمهای پایگاه داده، مدیریت حجم زیادی از داده ها میباشد، از این رو مدیریت داده ها شامل تعریف ساختارهای ذخیرهسازی اطلاعات و ارائۀ راهکاری برای دستکاری اطلاعات است. علاوه بر این، سیستم پایگاه داده باید امنیت اطلاعات ذخیره شده را در مقابل فروپاشی سیستم یا دستیابی غیرمجاز به آنها، برقرار کند.
امنیت ترمینالها
تکنولوژیهای کامپیوتر، لپ تاپ و گوشیهای موبایل میتوانند مزایای آشکاری برای کاربران داشته باشند، از سوی دیگر این ابزارها دارای تأثیر بر جنبه های امنیتی نیز هستند. اگر هدف مجرمان، داده های موجود در ابزارهای بالا باشد، در صورتی که امکان بدست آوردن داده های مورد نیاز از طریق فرایند انتقال، وجود داشته باشد، لزوماً نیازی نیست که دستگاه مورد نظر را به سرقت ببرند، بلکه با بهره گرفتن از ترمینالهای جعلی میتوانند به اهداف خود دست یابند. بنابراین میتوان گفت که ترمینال کامپیوتری، یک سخت افزار الکترونیک است که برای وارد کردن داده ها و اجرای آنها، از یک کامپیوتر یا سیستم محاسباتی مورد استفاده قرار میگیرد (ژانگ و همکاران، ۲۰۱۲).
معمولاً ترمینالهای عمومی غیرمطمئنی مثل کیوسکهای اینترنتی، به منظور دسترسی به سیستمهای کامپیوتری مورد استفاده قرار میگیرند که یکی از نگرانیهای امنیتی در این سیستمها حملات ترمینالهای جعلی است. در این حملات، حمله کننده یک ترمینال جعلی را به منظور فریب دادن کاربرانی که نسبت به آشکار شدن اطلاعات حساس خود، از قبیل PINs و ایمیلهای شخصی بدگمانی ندارند و تلاش می کنند که از این ترمینالها استفاده کنند، راه اندازی می کند (آسوکن، دبار، استاینر و ویندنر[۱۲۹]، ۱۹۹۹). البته به منظور دست یافتن به امنیت، رمزنگاری، یک تلاش متمرکز برای اطمینان از غیرقابل تفسیر (ترجمه) بودن پیام جدا شده، میباشد. بنابراین در این روش، تنها راه ممکن برای خواندن یک پیام، باید استفاده از فرایند رمزگشایی باشد. موارد زیر بیان کنندۀ جزئیات دارایی های مورد نیاز، برای فرایند رمزنگاری امن میباشند:
فرایند رمزنگاری باید برای کاربران غیرمجاز، غیرقابل تعیین باشد که این موضوع به یک فرایند نسبتاً پیچیده نیاز دارد.
پیامها تنها بعد از رمزگشایی قابل خواندن هستند و رمزگشایی تنها با کلید صحیح امکان پذیر است.
کلیدها نباید در دسترس کاربر غیرمجاز قرار بگیرند.
لازم است که کلیدها (از نظر تعداد بیتها) نسبتاً طولانی باشند (داجسان[۱۳۰]، ۲۰۰۴).
امنیت پرداخت الکترونیک و کارت هوشمند
یکی از ویژگیهای پایۀ عملکرد در تجارت الکترونیک، رویۀ پرداخت است. روشهای مختلفی برای پرداخت وجود دارد؛ از قبیل پول دیجیتال، کارت اعتباری الکترونیک و پرداخت از طریق چک الکترونیک؛ درتمام این روشهای پرداخت، یکی از پارامترهای بسیار مهم، امنیت است (استفانی و زینوس، ۲۰۰۱). با این رویکرد، در این بخش به بررسی پرداخت الکترونیک و امنیت آن میپردازیم، از این منظر میتوان گفت که پرداخت الکترونیک دارای ویژگیهایی از قبیل موارد زیر میباشد:
امنیت: ایمن ساختن اطلاعات به منظور جلوگیری از تحریف و دستیابی به اطلاعات، توسط افراد غیرمجاز میباشد.
تقسیم پذیری: بیشتر فروشندگان تنها کارتهای اعتباری را برای دامنهای حداقل و حداکثر قبول می کنند. بنابراین هرچه دامنۀ قبول پرداختها را زیادتر کنند، امکان پذیرش بیشتری وجود دارد.
قابلیت بررسی: سیستم باید به قدر کافی مستحکم باشد تا کاربران در صورت قطع برق، دچار ضرر و زیان مالی نشوند.
گمنامی: این مطلب با حریم خصوصی ارتباط دارد؛ یعنی برخی خریداران تمایل دارند هویت و مشخصات خریدهای خود را گمنام باقی نگه دارند.
عدم تکذیب: یک سیستم پرداخت اینترنتی باید گروه های درگیر را مطمئن و متعهد سازد، تا از این طریق، هیچ گروهی نتواند معاملات را انکار کرده و یا به طور غیرقانونی از آن شانه خالی کند .
در پرداخت الکترونیک علاوه بر کارتهای اعتباری و مبادلاتی، وجوه دیگری از این کارتها را میتوان نام برد؛ از قبیل کارتهای هوشمند، وجوه، چک و حواله الکترونیکی. ویژگی مشترک همۀ این روشها آن است که همگی توانایی انتقال یک پرداخت از شخصی به شخص دیگر، در داخل شبکه و بدون نیاز به دیدار آن اشخاص را دارند. در هریک از این روشهای پرداخت معمولاً چهار گروه زیر درگیر میشوند:
مؤسسۀ گشایشگر؛ بانک یا مؤسسۀ غیربانکی که وسیلۀ پرداخت الکترونیک را به منظور انجام خرید ایجاد می کند.
مشتری/ پرداخت کننده/ خریدار؛ گروهی که پرداختهای الکترونیکی را به منظور خرید کالا و خدمات انجام می دهند.
بازرگان/ دریافت کننده/ خریدار؛ گروهی که پرداختهای الکترونیکی را طی مبادلۀ کالا و خدمات دریافت می کنند.
قانونگذار: معمولاً یک ادارۀ دولتی است که طبق مقررات خاصی، فرایند پرداختهای الکترونیکی را کنترل می کند (صنایعی،۱۳۸۳).
از این رو تقلب در پرداخت آنلاین به صورت خرده فروشی، موضوعی است که به طور گستردهای نگرانی بازرگانان و مشتریان را در پی داشته است. شبکه های تبهکار سازمان یافته، حملات سریع، در مقیاس بزرگ را با بهره گرفتن از تکنیکها و ابزارهای پیچیده انجام می دهند و مرتکب درصد بالایی تقلب، در پرداخت آنلاین میشوند. از آنجا که تقریباً تمام بازرگانان در زمان انتقال داده های حساس بین مرورگر مشتری و وب سایت از کانالهای ارتباطی امن استفاده می کنند، احتمال جداکردن شماره کارت توسط مجرمان در طول یک معامله بسیار کم است، اما آنچه در معرض خطر بیشتری قرار دارد، سرقت اطلاعات کارت اعتباری ذخیره شده در وب سایت است.
از این رو خرده فروشان که به ندرت در زمینۀ امنیت معاملات آنلاین متخصص هستند، معمولاً به جای اینکه خود، سیستم پرداخت آنلاین را ایجاد نمایند، این فرایند را به یک ارائه دهندۀ خدمات پرداخت یا بانک، برون سپاری مینمایند. در نتیجه ارائه دهندگان خدمات پرداخت، یا بانکها فرآیندهای تخصصی را به منظور اطمینان از امنیت پرداخت در کسب و کار، پیشنهاد می کنند که برخی از این فرآیندها شامل موارد زیر میباشند:
رمزگذاری و امن نگهداشتن اطلاعات کارت: این فرایند معمولاً از طریق تکنولوژی SSL [۱۳۱] صورت میپذیرد.
نامرئی بودن اطلاعات کارت: بعضی از ارائه دهندگان خدمات پرداخت و بانکها، میتوانند پرداخت آنلاین را از طرف کسب و کار شما قبول کنند و بدون برقراری ارتباط، جزئیات کارت اعتباری با آن کسب و کار را پردازش نمایند. تنها چیزی که در این حالت انتقال مییابد، وجوه است.
تشخیص خودکار تقلب: بعضی از ارائه دهندگان خدمات پرداخت و بانکها، میتوانند خدمات شناسایی خودکار تقلب را به عنوان بخشی جداییناپذیر از برنامۀ پرداخت آنلاین، ارائه دهند. این روشها از رفتارهایی استفاده می کنند که به سرعت رفتارهای خرید جعلی را شناسایی نموده، به خرده فروش هشدار می دهند و از انجام معامله جلوگیری مینمایند.
AVS یا CVV: بانک یا ارائه دهندۀ خدمات پرداخت، ممکن است که تأیید آدرس (AVS)و تأیید دارنده کارت (CVV) را به عنوان عناصر جداییناپذیر از خدمات پرداخت خود پیشنهاد نمایند (ریووید[۱۳۲]، ۲۰۰۵).
کارت هوشمند:
کارتهای هوشمند جزء ابزارهای مفیدی محسوب میشوند که به عنوان جانشین پول نقد، درجۀ امنیت داد و ستدها را افزایش داده، فرایند خرید را تسهیل نموده و از کاغذ بازی و نگهداری سوابق به میزان زیادی جلوگیری می کنند. با
وجود کارتهای هوشمند، دیگر ضرورتی برای حمل پول نقد وجود ندارد و باید در نظر داشت که کارتهای هوشمند استفادههای مختلفی برای بازرگانان، مؤسسات مالی و دیگر صادرکنندگان کارت دارند. با توجه به هزینۀ کم، قابلیت حمل، کارایی و ظرفیت رمزنگاری کارت هوشمند، این ابزار به طور گستردهای در برنامه های تجارت الکترونیک، پروتکلهای امنیت شبکه و همچنین برنامه احراز هویت از راه دور مورد پذیرش قرار گرفته است.
از سوی دیگر، یک برنامه مبتنی بر کارت هوشمند در واقع یک راهحل امیدوار کننده و عملی برای احراز هویت از راه دور است و یک برنامه احراز هویت از راه دور در واقع یک مکانیزم برای تصدیق هویت کاربری است که یک ارتباط ناامن را از راه دور برقرار مینماید (چیین، جان و تسنگ[۱۳۳]، ۲۰۰۲).
باید در نظر داشت که یک کارت هوشمند نیاز به وابستگی به منابع خارجی که به طور بالقوه آسیب پذیرند، ندارد و این ویژگی به همراه قابلیت حمل کارت، باعث شده که کارت هوشمند به یک تکنولوژی مفید در برنامههایی که نیاز به حفاظتهای امنیتی قوی و تصدیق هویت دارند تبدیل شود.
امروزه تعداد زیادی کارت هوشمند در سیستمهای بانکداری، مخابرات، بهداشت و درمان و حمل و نقل مورد استفاده قرار میگیرد. در واقع سازمانهای نظامی، از کارت هوشمند برای شناسایی الکترونیکی و کنترل دسترسی استفاده می کنند. به نظر میرسد که کارتهای هوشمند به یک ابزار فوق العاده برای بالا بردن امنیت سیستم و فراهم آوردن محلی برای ذخیرهسازی امن تبدیل شده اند. یکی از ویژگیهای ارائه شده توسط بسیاری از سیستم عاملهای کارت هوشمند، امکانات رمزنگاری است. اما باید توجه داشت که متأسفانه، الگوریتم رمزنگاری مخفی، کلیدهای ذخیره شده و کنترل دسترسی در داخل کارت هوشمند به اهداف حمله کنندگان تبدیل شده اند (کیرسبیلک و ونهوک، ۲۰۰۶).
ساختار فیزیکی یک کارت هوشمند
اجزا یک کارت هوشمند شبیه اجزا یک کامپیوتر معمولی میباشد و شامل موارد زیر هستند:
یک ریز پردازنده (یعنی CPU) به عنوان یک عنصر هوشمند
حافظه
فرم در حال بارگذاری ...
|
[یکشنبه 1400-08-02] [ 06:04:00 ق.ظ ]
|
