امنیت در تجارت الگترونیگ

لینک دانلود و خرید پایین توضیحات

فرمت فایل word و قابل ویرایش و پرینت

تعداد صفحات: 17

سازمان مدیریت صنعتی نمایندگی شرق

موضوع تحقیق:

امنیت در تجارت الکترونیک

استاد محترم:

جناب آقای مهندس میرشاهی

تهیه وتدوین:

محمد لحاظی _تقی یامی

زمستان 1385

مدیریت سیستمهای امنیت اطلاعات

مقدمه

گرچه بحث دسترسی به اطلاعات و از سوی دیگر امنیت و حفاظت از اطلاعات در سطح کشوری برای حکمرانان از زمانهای قدیم مطرح بوده و دستیابی به اطلاعات نظامی و کشوری گاه موجب نابودی قومی می شده است اما با توسعه فناوری اطلاعات و استفاده از اطلاعات به عنوان یک ابزار تجاری و سرمایه سود آور، بحث امنیت اطلاعات بعد جدیدی به خود می گیرد. در تجارت امروز، اطلاعات نقش سرمایه یک شرکت[1] را ایفا می کند و حفاظت از اطلاعات سازمان یکی از ارکان مهم بقای آن می باشد. جهانی شدن اقتصاد منجر به ایجاد رقابت در سطح جهانی شده و بسیاری از شرکتها برای ادامه حضور خود در عرصه جهانی، ناچار به همکاری با سایر شرکتها هستند. به این ترتیب، طبقه بندی و ارزش گذاری و حفاظت از منابع اطلاعاتی سازمان ( چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم بشمار می رود. سیستم مدیریت اطلاعات ابزاری است در جهت طراحی پیاده سازی و کنترل امنیت نرم افزار و سخت افزار یک سیستم اطلاعاتی(Pipkin, 2000)

مسایل امنیتی در تجارت الکترونیکی

اینترنت به عنوان بستر انتقال اطلاعات در دنیای کنونی مطرح است. TCP/IP پروتکل انتقال اطلاعات در شبکه اینترنت است. با مطرح شدن اینترنت به طور گسترده، مسئله امنیت اطلاعات قابل انتقال، به شکل مشخصی بازگو شد زیرا اطلاعات مهم نیز از طریق این بستر فرستاده می شد. اطلاعاتی مثل، شماره کارت اعتباری، فرم پرداخت و غیره از جمله مسایلی بود که احتیاج به امنیت بیشتری داشت. به همین دلایل امنیت در تجارت الکترونیکی جایگاه مهمی داراست.

به چند روش می توان در اطلاعاتی مداخله کرد که بین دو کامپیوتر مبادله می گردد و این روشها عبارتند از [6,:9]

1 - استراق سمع: اطلاعات توسط فردی خوانده می شود و می تواند بعداً مورد استفاده قرار گیرد. مثل شماره حساب یک فرد، در این حالت محرمانه بودن اطلاعات از بین می رود؛

2 - تغییردادن پیام: امکان دارد پیام هنگام انتقال تغییر کند و یا کلاً عوض شود و سپس فرستاده شود. مثلاً سفارش کالا می تواند تغییر یابد؛

3 - تظاهرکردن: ممکن است شخصی خود را به جای یک سایت معرفی کرده و همان اطلاعات را شبیه سازی کند و پس از دریافت مقادیر قابل توجه هیچ پاسخی به خریداران نداده و ناپدید گردد.

روشهای متفاوتی برای جلوگیری از این مسایل وجود دارد که یکی از آنها رمزدار کردن پیام است که خود به چند دسته تقسیم می گردد. دیگری درهم سازی و فشرده سازی پیام و تهیه DIGEST است. در امضای دیجیتالی عملاً تلفیقی از این روشهــا مـــورد استفـاده قرار می گیرد. انواع روشهای رمزنگاری بدین شرح است:

! رمزنگاری با کلید متقارن: در این روش از یک کلید استفاده می شود. بدین شکل که یک کلید مشترک بین طرفین وجود دارد. اطلاعات بااین کلید رمزدار شده و فقط توسط طرف مقابل که دارنده کلید است قابل بازگشایی است. مشکل این روش تبادل این کلید قبل از رمزدارکردن پیام است.

! رمزنگاری با کلید نامتقارن یا کلید عمومی: در این روش یک جفت کلید برای انتقال پیام استفاده می گردد. به این شکل که هرکاربر دارای یک کلید عمومی و یک کلید خصوصی است. کلید عمومی در یک دایرکتوری در اختیار هرکس می تواند قرار گیرد و کلید خصوصی هر فرد را، فقط خودش می داند. در ارسال پیغام از A به B ، ابتدا A پیام را با کلید خصوصی خود رمزدار کرده سپس با کلید عمومی پیام را ارسال می کند. در طرف مقابل B پیام را با کلید عمومی رمزگشایی کرده و سپس با کلید خصوصی خود رمز را باز می کند و پیغام را مشاهده می کند. اشکال این روش این است که شخص ثالثی مانند C می تواند خود را به جای A معرفی کرده و پیامی را با کلید خصوصی خود و سپس کلید عمومی رمزدار کرده وبرای B ارسال کند. در این روش B نمــی تواند تشخیص دهد که پیغام ارسال شده حتماً از طرف A بوده است. امضای دیجیتالـی به عنوان روشی برای جلوگیری از ایجاد این مشکل به وجود آمده است.

! رمزنگاری بااستفاده از روش کلید عمومی با امضای دیجیتالی:

امضای دیجیتالی همراه با کلید عمومی، موجودیتی است که به شخص طرف مقابل این امکان را می دهد تا تشخیص دهد کسی را که پیغام را فرستـــاده، همان کسی است که ادعا می کند، و پیغام دریافت شده همان پیغام ارسال شده است. (تصدیق اصالت).

در روش امضای دیجیتالی از کلید عمومی همراه با توابع HASH استفاده می شود. این کلید دارای یک تاریخ انقضا نیز هست که هرچه مدت اعتبارش کوتاهتر باشد اعتبار آن بالاتر است زیرا احتمال جعل آن بالا می رود. گیرنده پیغام امضای انجام شده را چک می کند تا از اصالت آن باخبر شود.

مراکزی که امضای دیجیتالی را در اختیار قرار می دهند خود از مراکز دیگری اعتبار گواهینامه را دریافت کرده اند. این مرکز موجودیتی است که اعتبار را برای یک فرد ایجاد می کند. چند نمونه از آنها XCERT ، VENSIGN ، THAWTE هستند که با دریافت وجه مشخصی این اعتبار را در اختیار قرار مـــی

مدیریت امنیت اطلاعات

مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. همچنین مدیریت امنیت وظیفه پیاده سازی و کنترل عملکرد سیستم امنیت سازمان را بر عهده داشته و در نهایت باید تلاش کند تا سیستم را همیشه روزآمد نگه دارد. هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه های (نرم افزاری، سخت افزاری، اطلاعاتی و ارتباطی و نیروی انسانی) سازمان در مقابل هر گونه تهدید ( اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سیستم و خطرات ایجاد شده از سوی کاربران) است ( دشتی، 1384: 159). و برای رسیدن به این هدف نیاز به یک برنامه منسجم دارد. سیستم امنیت اطلاعات راهکاری برای رسیدن به این هدف می باشد.