-
1-مقدمه
امروزه امنیت اطلاعات بزرگترین چالش در عصر فناوری اطلاعات محسوب می شود
و حفاظت از اطلاعات در مقابل دسترسی غیرمجاز، تغییرات، خرابکاری، افشاء اطلاعات، ویروسها امری ضروری و اجتناب ناپذیر است. امنیت شبکه سازمان بلحاظ دوام و برقراری، صحت، تمامیت، و حفظ موازین محرمانگی و سطوح دسترسی مجاز به اطلاعات رایانهای از اهمیت زیرساختی برخوردار است.
هدف از استقرار امنیت در شبکه کاهش معقولانة ریسکها در مورد داراییهای ارزشمند سازمان جهت ارزیابی، طراحی، اجرا، و بهینهسازی راهحلهای امنیت شبکهای که نقش حیاتی در مدیریت تهدیدات دربارة امنیت اطلاعات موجود و در حال تغییر دارد می باشد.
در حال حاضر فقدان زیرساختهای فنی و اجرائی امنیت از قبیل استانداردها، نظام های ارزیابی، نظام تحلیل مخاطرات، نظام پیشگیری، نظام مقابله با جرائم و زیر ساختهای سخت افزاری لازم از یک سو و همچنین عدم انجام اقدامات موثر در خصوص ایمن سازی در فضای تبادل اطلاعات از سوی دیگر وضعیت نامطلوبی را بوجود آورده است و ضررها و لطمات زیادی از جنبه های مختلف تحمیل می کند.
1-2- امنیت الکترونیکی چیست؟
بطور کلی امنیت الکترونیکی عبارت است از هر ابزار، فن، یا فرآیندی که برای حفاظت از سرمایه های اطلاعاتی یک سیستم مورد استفاده قرار می گیرد. امنیت الکترونیکی ارزش یک شبکه را زیاد می کند و از زیرساختهای نرم و سخت تشکیل شده است . زیرساختهای نرم عبارتند از سیاستها، فرآیندها، پروتکلها و راهبردهایی که از مورد سوء ا ستفاده قرار گرفتن سیستم و داده ها جلوگیری می کنند . زیرساختهای سخت نیز متشکل از نرم افزار و سخت افزار مورد نیاز برای حفاظت از سیستم و داده ها در مقابل تهدیدات امنیتی داخلی و خارجی سازمان می باشد. باید توجه داشت که سطح امنیت الکترونیکی هر فعالیت باید متناسب با ارزش آن فعالیت باشد؛ بنابراین امنیت برای تراکنشها و معاملات مهم باید در سطحی بالاتر از تراکنشها و معاملات عادی تأمین شود
. امنیت تجارت الکترونیکی فرآیندی است که طی آن یک شبکه متصل به اینترنت یا انترانت در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود.
-3- ویژگی های امنیتی مورد نیاز سیستم تجارت الکترونیکی
برای انجام داد و ستدهای الکترونیکی، باید به مسایل امنیتی توجه شود تا مشکلی برای خریدار و فروشنده پیش نیاید. پس باید به سرویس های امنیتی کارآمد برای منابع و ارتباطات اندیشید. در این بخش مهم ترین مسایل ایمنی همراه با خطرات و تدابیر رویارویی با آنها به طور خلاصه بیان شده است
اما گفتنی است که با وجود این سرویس ها و تدابیر، هنوز هم امنیت صد در صد برای تجارت الکترونیکی به دست نیامده است.
1-3- 1- احراز هویت:
که به موجب آن، فرد یا سازمان بتواند هویت خود را اثبات کند، فرآیندی است که تضمین می کند یک هویت همان است ه ادعا می شود. سرویس های تایید هویت، درستی یا نادرستی هویت طرف های بازرگانی در معامله را هویدا می کنند. واژگان رمز،گواهی ها روش های زیست سنجی از خطر جعل هویت می کاهند
1-3-2-کنترل اختیارات
بعد از مشخص شدن هویت افراد در تایید اصالتشان میزان مجوزهای آنها بررسی می شود. دراین مرحله تعیین می شود که هر طرف معامله چه مجوز و چه سطح دسترسی هایی دارند. به عنوان مثال مجوزها و کنترل اختیارات مدیرعامل یک شرکت با مجوزها و سطح دسترسی های کارمندان شرکت متفاوت است و هر یک در حیطه عملیاتی که از قبل برایشان تعریف شده می توانند فعالیت کنند. زمانی که به یک دستگاه خود پرداز مراجعه می کنید شما فقط می توانید اطلاعات حساب خود را ببینید و سطح دسترسی به شما اجازه مشاهده حسابهای دیگران را نمی دهد در حالیکه رئیس بانک می تواند تمامی حسابها را مشاهده کند.
1-3-3- در دسترس بودن
مکان دسترسی به داده ها در زمان و مکان مناسب همراه با ایمنی از دسترسی غیر مجاز به داده را تامین می کند. از خطرهای تهدید کننده این ویژگی می توان خطای شبکه، قطع برق، اشتباهات عملیاتی، اشتباهات کاربردی، خطای سخت افزار، خطای نرم افزار سیستم و ویروس ها را نام برد که با گزینش راه های ارتباطی جایگزین، پیش گیری از قطع برق، آزمایش کیفیت نرم افزار و سخت افزارها، محدود ساختن دسترسی و تامین سیستم پشتیانی داده ها از آنها کاسته می شود.
1-3-4- محرمانگی معاملات) افشای اطلاعات برای افراد مجاز)
محرمانه نگه داشتن محتویات پیام های مبادله شده میان طرف های مجاز را تضمین می کند. سرویس های خصوصی بودن از آشکار شدن داده ها و اطلاعات شخصی کاربرا برای افراد و سازمانهای غیر مجاز، جلوگیری می کند. این سرویس ها تضمین می کنند که داده فرستاده شده روی شبکه تا زمانی که در راه است خوانده نشود. برای اینکار، این گونه سرویس ها حفاظت پیام ها را در برابر سو استفاده، رهگیری و شنود تامین می کنند.
به کمک رمز نگاری پیام ها، دسترسی غیرمجاز به پیام ها توسط افراد درون سازمانی یا برون سازمانی، با رهگیری هنگام مخابره دشوارتر می شود
1-3-5- )بازرسی ( بازرسی تراکنش های ذخیره شده توسط ریز کارکرد
وقتی که از طریق یک دستگاه خودپرداز مبلغی را به حساب شخص دیگری واریز می کنید باید عملیات این تراکنشها ثبت شود که بعدا از آن بتوان به عنوان یک مرجع و یا یک طرف سوم استفاده کرد. درصورتیکه گیرنده دریافت مبلغ را انکار کرد باید بتوان به محل ثبت تراکنشها برویم که در واقع یک Database است که درآن مشخص شده که در تاریخ x از حساب y مبلغ z به حساب w رفته است. فایلهای ثبت تراکنش باید به صورتی باشند که بتوان به آنها استناد کرد.
1-3-6- ) صحت داده ها)
برای جلوگیری از دستکاری، یا حذف ناخواسته پیام ها می باشد. سرویس های تمین تمامیت اطلاعات می کوشند تا داده فرستاده شده در شبکه، در طول راه دچار دگرگونی یا گم نشود.
بدون این سرویس ها، یک شخص غیر مجاز ممکن است یک بسته یا پیام را از شبکه بگیرد، آنرا تغییر دهد و دوباره در جریان اندازد، بدون اینکه تغییرات برای گیرنده بسته یا پیام آشکار شود. با تایید بسته به بسته و رمز نگاری پیام ها می توان بروز اشتباه تصادفی یا متقلبانه در هنگام ورود داده ها ونیز تخریب و تغییر پیام ها را کاهش داد.
1-3-7- انکار ناپذیری (مثلا عدم انکار چک )
توانایی تضمین اینکه، طرفین معامله نتوانند محتویات پیام مبادله شده را انکار کنند. با سرویس های انکار ناپذیری، فرستنده و گیرنده نمی توانند ارسال و دریافت پیام را انکار کنند. تایید اصالت پیام با آمیزه ای از آنچه که کاربر می داند، آنچه که کاربر در اختیار دارد و یا ویژگی های فیزیکی کاربر مانند روش های زیست سنجی در برابر جعل هویت و انکار پیام ها به بازرگانان یاری می رساند
درصورتیکه هریک از 7 شرط بالا نقص شود و یا به صورتی که مورد نظر ماست در دسترس نباشد می گوییم سیستم تجارت الکترونیکی و یا شبکه تجارت الکترونیکی مورد حمله قرار گرفته است.
1-4-تهدیدات امنیتی تجارت الکترونیک
عواملی که سیستم های تجارت الکترونیکی را تهدید می نمایند عبارتند از :
1-4-1-محرمانگی معاملات
1- DBMS Exploits آ شکاری شدن بانک اطلاعاتی توسط اپراتور یا نفوذ از بیرون سازمان
2-Log Data Mining : داده کاوی ریز کارکرد سیستم و بدست آوردن اطلاعات
3: Sniffing -شنود اطلاعات
1-4-2- در دسترس بودن
1-: Buffer Overflow attack پر کردن بافرهای میانی با اطلاعات آشغال
اگر در کدهای مختلف نرم افزاری طول آرگومانها بررسی نگردد در معرض این حمله قرار دارند
2- : DOS حمله به سرور به صورت ارسال انبوه اطلاعات یا DDOS تدارک حمله از طریق تعداد زیادی کامپیوتر قربانی
3- : Component Failure attacks از کار انداختن کامپونت های مهم شبکه مثل روتر
Backdoorsسیستم از خارج مثل Checkpoint و مورد حمله قراردادن در یک زمان خاص
1-4-3- کنترل اختیارات
1-: Session Hijacking دزدی Session واستفاده توسط کاربران غیر مجاز
2-: Bypassing Attack دور زدن
3- Brute Force Attack: حمله از طریق سعی وخطا
هر برنامه رمز گذاری یک کلید دارد که شما به وسیله این کلید دادهتان را رمز میکنید. Brute force تمام احتمالات این کلید را مورد امتحان قرار میدهد.
راه حل قابل انجام: زمانی که برنامه ما رمزگذاری قوی داشته باشد و یا از کلید رمزگذاری طولانی استفاده گردد این حمله نمیتواند به نتیجه برسد.
4- Reply attackes: ذخیره essionواستفاده مجدد
1-simple replay: گرفتن پیغام وارسال آن بعد از مدتی
2- Logged replay:گرفتن پیغام وارسال قبل از اتمام پنجره زمانی
3-Undetected replay: پیغام اصلی نمی رسد وفقط پیغام جعلی می رسد .
4-Backward replay: پاسخ به پیغام ارسالی بجای گیرنده
این حمله زمانی رخ میدهد که مثلاً شما رمزی را به سرور میفرستید و سرور جواب شما را میدهد. با فرستادن کلمه رمز دیگری توسط شما و تشخبص سرور ممکن است در این ارتباط رمز شما دزدیده شود.
5- IDSpoofing
1-4-4- احراز هویت
1-Sniffing Attacks : شنود شناسه و رمز عبور کاربر از طریق شنود
این حمله زمانی رخ میدهد که دیتا مسیری را طی میکند و در طی این مسیر دادهها برداشته شده و ذخیره میگردند.
راه حل قابل انجام: با رمزگذاری در دانگل و برنامهای که با دیتابیس ارتباط برقرار میکند امکان این حمله بسیار کاهش مییابد. در دانگل اطلاعات شخصی و در برنامه دیتایی که به انتخابات مربوط میشود مانند رای، شخص رای دهنده و ... به صورت رمز کد شوند
2- : Dictionary Attacks حدس از طریق کلمات دیکشنری
3- Reply attacks
4- Brute Force Attack
5- ID Spoofing
6- Credential Attack
7- Site channel