امنیت در تجارت الکترونیک

امنیت در تجارت الکترونیک

در خرده فروشی سنتی، خریداران ریسک استفاده از کارتهای اعتباری خود را در فروشگاه های معمولی مـی پذیرنـد زیـرا آنهـا مـی توانند کالای مورد معامله را ببینند و لمس کنند و راجع به فروشگاه در نزد خود داوری کنند . اما در اینترنت بـدون آن نـشانه هـای فیزیکی، برای خریداران خیلی مشکل تر است تا امنیت سیستم تجاری شما را تشخیص دهند. همچنین در اینترنت خطرات امنیتـی مهمی نیز خود نمایی می کنند.

 تبلیغات خدمات امنیت و حفاظت فیزیکی و مجازی را میتوانید در ePishro.ir آگهی نمایید.

ارایه درگاه پرداخت epbank.ir برای فروشگاه های فعال در زمینه خرید و فروش دوربین مداربسته 

کلاهبرداری- هزینه پایین ساختن یک وب سایت و سادگی کپی کردن صفحات موجود به روی سـایت، بـه سـادگی امکـان سـاخت سایتهای غیر قانونی را که به نظر توسط یک شرکت ثبت شده و معتبر هدایت می شـوند، ایجـاد مـی کنـد. در حقیقـت هنرمنـدان جنایتکار بصورت نامشروع اطلاعات کارتهای اعتباری دیگران را بوسیله ایجاد وب سایتهای به نظر حرفه ای که از شـرکتهای قـانونی تقلید کرده اند بدست می آورند.

افشای غیر مجاز – وقتی تراکنش معامله بصورت باز و بدون امنیت و کد گذاری مناسب به اینترنت ارسال می شـود، هکرهـا خواهنـد توانست این تراکنش را جهت بدست آوردن اطلاعات حساس مشتریان از جمله آگاهگان شخصی و/یـا شـماره هـای کـارت اعتبـاری استراق سمع کنند

دستکاری غیر مجاز – یک رقیب یا یک مشتری ناراضی ممکن است بتواند وب سایت شما را تغییر دهد، بنابراین باعث از کـار افتـادن سرویس دهی به مشتریان بالقوه سایتتان شود.

تغییر اطلاعات – محتویات یک تراکنش نه تنها ممکن است مورد استراق سمع واقع شود بلکه ممکن است در مـسیر نقـل و انتقـال تغییر نماید چه بصورت کینه جویانه چه بطور اتفاقی. اسامی کاربران، شماره های کارتهای اعتباری، و میزان پرداخت هـا کـه بـدون امنیت لازم و کد گذاری مناسب ارسال شده باشند همه آمادگی پذیرفتن چنین تغییراتی را دارند.

شرکت Yankee group مستقر در بوستون امریکا در نتیجه نظرسنجی از 700 نفر که متخصص در زمینه امنیت بودند متوجـه شـد که 55 درصد تجاوزها به اطلاعات شبکه ، توسط افراد داخل شرکت بوده و در مقابل تنهـا 25 درصـد تجاوزهـا توسـط افـراد خـارج سازمان گزارش شده است.

شرکتها باید کامپیوترهای سرویس دهنده وب تجارت الکترونیک خود را در مقابل دسترسی غیرمجاز ایمن سا زند و باید توجـه کـرد که دسترسی غیرمجاز ممکن است از طریق اینترنت باشد یا از طریق داخل شرکت.

حفاظت در مقابل تخریب کامپیوتر سرویس دهنده وب:

صفحه اولیه (Home Page) سایت شـرکت ،تـصویر آن شـرکت در مقابـل دنیـا اسـت.بـرای خیلـی هـا صـفحه اولیـه سـایت یعنـی شرکت.متجاوزان با دستکاری این صفحه شرکتها را تخریب می کنند . نقطه آغـاز فعالیتهـای غیرقـانونی:بـرای شـرکتهای کوچـک و متوسط که درگیر رقابت بازار نیستند احتمال اینکه خرابکاران به فکر حمله به آنها بیفتند خیلـی کـم اسـت.چنانچـه سیـستم هـای متصل به اینترنت از لحاظ امنیتی برای متجاوزان ضعیف باشد متجاوزان می توانند این سایتها را به عنـوان محـل ذخیـره اطلاعـات سرقتی انتخاب کرده و تبدیل به نقطه آغاز حمله به سایتهای با ارزش دیگر کنند.

جلوگیری از ارائه خدمات:نوع دیگر حمله اقدام به تعطیلی یک کـامپیوتر سـرویس دهنـده بـه وسـیله مواجـه سـاختن آن بـا انبـوه درخواستهاست که در واقع پیشگیری از آن نسبتا دشوار است.

انواع فناوری حفاظت و ایمنی

مطلوبترین فن آوری های امنیتی عبارتند از :

.1 Routers مسیریاب

2.دیواره های آتش Internet Firewalls

3.سیستم های کشف تجاوز Intrusion Detection System

4 Public Key Infrastructure PKI .

.5 Authentication شناسایی

.6 Encryption رمزنگاری

– مسیریاب(Router)

مسیریاب عبارت از وسیله ای است که مدیریت ترافیک شبکه را انجام می دهد .این وسیله بین زیر شبکه ها نشسته و رفت و آمد بـه سمت بخشهایی را که به آنها متصل است کنترل می کند .به طور طبیعی مسیریابها محلی مناسب برای اعمـال قواعـد فیلتـر کـردن بسته ها بر اساس سیاستهای امنیتی هستند.

دیواره آتش( Fire wall )

یکی از مؤلفه های مهم حفاطت سایتهای اینترنتی ، سیستم دیواره آتش می باشد. سیستم های دیوار آتش کامپیوتر یـا مسیریابهایی هستند که آمدوشـد بـه اینترنـت را بـسته بـه قواعد از پیش تعریف شده فیلتـر مـی کننـد.سیـستم هـای دیوار آتش به دو نوع اصلی ارائه می شوند:

1 Packer Filter –

یا فیلترهای بسته ای که مبتنی بر مسیریاب می باشند.ایـن فیلترها هر بسته داده وارده و صادره را بررسی می کنند تـا مطمئن شوند که اجازه ورود یا خـروج از شـبکه بـر ا سـاس قواعد از پیش تعریف شده را دارند یا خیر.

2 Application Gateways –

پل های ارتباطی که بر روی یک کامپیوتر اختصاصی یا کامپیوتری که به طور ویژه ایمن شده است اجرا می شود . این نـرم افـزار هـا عمل فیلتر کردن بسته ای را روی برنامه های کاربردی اجرا شده انجام می دهن د . این سیستم هـا دارایProxy بـوده و آدرس هـا را ترجمه می کنند.

سیستمهای کشف تجاوز (IDS)

متجاوز اینترنتی (Hacker, Cracker) کسی است که بدون اجازه به سیستم شما وارد می شود یا سیستم شما را مورد سوء اسـتفاده قرار می دهد . کلمه سوء استفاده معنای گسترده ای دارد و می تواند شامل دزدی کلان مثل ربودن داده های محرمانه تا استفاده غیر مجاز از پست الکترونیک شما به منظور ارسال نامه های تبلیغاتی از نوع مزاحمتهای اینترنتی معروف به Spam باشد

یک سیستم کشف تجاوزIDS کارش کشف چنین تجاوزاتی است . این سیستم را می توان به مقوله های زیر تقسیم نمود:

1. سیستم های کشف تجاوز شبکه ای System NIDS Network Intrusion Detection

.2 تأیید کننده های صحت سیستم System Integrity Verifiers SIV

.3 Log file Monitors Log مانیتورهای

4. سیستم های فریب :

f سیستم های کشف تجاوز شبکه ای NIDS

این سیستم ها بسته های داده را که روی کابل شبکه می باشد مورد نظارت قـرار مـی دهنـد و تـشخیص اینکـه یـک  خرابکار مشغول داخل شدن به سیستم است یا خیر یا اینکه سیستم را از ارائه خدمات باز می دارد یـا خیـر بـر عهـده دارد.

f تأیید کننده های صحت سیستم SIV

این تأیید کننده ها پرونده های سیستمی را به منظور یافتن اینکه چه موقع یک متجاوز آنها را تغییر می دهد نظـارت می کنند.مشهورترین این تأییدیه ها Trip Wire . است یک SIV مـی توانـد مؤلفـه هـای دیگـری همچـون WindowsRegistry را هم نظارت کند تا علامتهای معروف را پیدا کند .این سیستم ضمنا می تواند زمانی را که یک کاربر عـادی به امتیازات مدیر شبکه دست پیدا می کند تشخیص دهد.

f مانیتورهایLog

این سیستم پرونده های Logرا که توسط سرویسهای شبکه ای تولید می شوند مراقبت می کننـد . شـبیه کـار NIDS این سیستم ها در داخل پرونده های Log به دنبال الگوهایی می گردند که حاکی از هجوم یک مهاجم . باشد

f سیستمهای فریب

این سیستم ها شبیه خدماتی هستند که هدف آنها عبارت از شبیه سازی رخنه های مشهور است تـا خرابکارهـا را بـه دام بیندازد.این سیستم ها همچنین از حقه های ساده هم استفاده می کنند .مانند نامگذاری مجدد عضویت یک مـدیر شبکه درNT و تعریف یک عضویت کاذب بدون هیچ اختیار.

I ، رمزنگاری ، امضاء دیجیتالی :

Public Key Infrastructure) PKI ) به عنوان استانداردی که عملا برای یکی کردن امنیت محتوای دیجیتالی و فرایند های تجارت الکترونیک و همچنین پرونده ها و اسناد الکترونیکی مورد استفاده قرار می گرفت ظهور کرد .این سیستم به بازرگانان اجازه می دهـد از سرعت اینترنت استفاده کرده تا اطلاعات مهم تجاری آنان از رهگیری ، دخالت و دسترسـی غیـر مجـاز در امـان بمانـد .یـک PKI کاربران را قادر می سازد از یک شبکه عمومی ناامن مانند اینترنت بـه صـورتی امـن و خـصوصی بـرای تبـادلات اطلاعـات اسـتفاده کنند.این کار از طریق یک جفت کلید رمز عمومی و اختصاصی که از یک منبع مسؤل و مورد اعتماد صادر شده و به اشتراک گذارده می شود انجام گیرد.

این سیستم مجموعه ای است از استانداردها ، فناوری ها و روالهایی که برای معتبر سازی و انتقال داده ها بکار گرفته مـی شـوند .بـا استفاده از کلیدهای دیجیتالی عمومی و اختصاصی به منظـور رمزنگـاری و رمزگـشایی ، همچنـین بـا اسـتفاده از گواهینامـه هـای دیجیتالی که حاوی کلیدهای اعتباری و عمومی کاربر بوده و اعتبار و هویت کاربر را اعلام می کننـد امکـان انتقـال امـن داده هـای الکترونیکی را فراهم می آورد.

وقتی دو نفر بخواهند با هم ارتباط برقرار کنند ، فرستنده اطلاعات ،از کلید عمومی مربوط به دریافت کننده اطلاعات برای رمزکردن اطلاعات استفاده کرده ، آن را ارسال می کند.سپس دریافت کننده از کلید خصوصی خودش برای رمزگشایی اطلاعات و خوانـدن آن استفاده می کند.از آنجا که این کلید ، خصوصی است و برای کس دیگر قابل دسترس نیست فقـط آن کـسی کـه اطلاعـات بـرای او ارسال گردیده می تواند آن را بخواند.

رمزنگاری (Encryption)

رمزنگاری عبارتست از تبدیل داده ها به ظاهری که نهایتا بدون داشتن یک کلید مخصوص قرائت آن غیر ممکن باشد.هدف آن حفظ حریم خصوصی است با پنهان نگاه داشتن اطلاعات از افرادی که نباید به آنها دسترسی داشته باشند.

رمزگشایی برعکس رمزنگاری عبارتست از تبدیل داده های رمز شده به صورت اولیه و قابل قرائت.

ابتدا بایست برای هر نفر دو کلید وجود داشته باشد.یک کلید عمومی که همه می تواننـد بـه آن دسترسی داشته باشند و یک کلید خصوصی کـه فقـط و فقـط خود فرد آنرا در اختیار دارد.این زوج کلید منحصر به فرد است و با داشتن یکی ، دیگری را نمی توان تولید کرد.این کلیدها در مرکزی به نام Certificate Authority تولیـد مـی شـوند و بـه افراد داده می شوند.حال اگر فرسـتنده بخواهـد بـرای گیرنـده  پیامی بفرستد آنرا با کلید عمومی گیرنده رمز می کند و مطمئن خواهد بود کـه فقـط گیرنـده مـی توانـد آنـرا بخوانـد چـون کلیـد  خصوصی گیرنده فقط در اختیار خود اوست.

  • امنیت در بانک تجارت (10)