امنیت در تجارت الكترونیك

امنیت در تجارت الكترونیك

در خرده فروشی سنتی، خریداران ریسك استفاده از كارتهای اعتباری خود را در فروشگاه های معمولی مـی پذیرنـد زیـرا آنهـا مـی توانند كالای مورد معامله را ببینند و لمس كنند و راجع به فروشگاه در نزد خود داوری كنند . اما در اینترنت بـدون آن نـشانه هـای فیزیكی، برای خریداران خیلی مشكل تر است تا امنیت سیستم تجاری شما را تشخیص دهند. همچنین در اینترنت خطرات امنیتـی مهمی نیز خود نمایی می كنند.

 تبلیغات خدمات امنیت و حفاظت فیزیکی و مجازی را میتوانید در MyCityAd.ir آگهی نمایید.

ارایه درگاه پرداخت ePayBank.ir برای فروشگاه های فعال در زمینه خرید و فروش دوربین مداربسته 

كلاهبرداری- هزینه پایین ساختن یك وب سایت و سادگی كپی كردن صفحات موجود به روی سـایت، بـه سـادگی امكـان سـاخت سایتهای غیر قانونی را كه به نظر توسط یك شركت ثبت شده و معتبر هدایت می شـوند، ایجـاد مـی كنـد. در حقیقـت هنرمنـدان جنایتكار بصورت نامشروع اطلاعات كارتهای اعتباری دیگران را بوسیله ایجاد وب سایتهای به نظر حرفه ای كه از شـركتهای قـانونی تقلید كرده اند بدست می آورند.

افشای غیر مجاز – وقتی تراكنش معامله بصورت باز و بدون امنیت و كد گذاری مناسب به اینترنت ارسال می شـود، هكرهـا خواهنـد توانست این تراكنش را جهت بدست آوردن اطلاعات حساس مشتریان از جمله آگاهگان شخصی و/یـا شـماره هـای كـارت اعتبـاری استراق سمع كنند

دستكاری غیر مجاز – یك رقیب یا یك مشتری ناراضی ممكن است بتواند وب سایت شما را تغییر دهد، بنابراین باعث از كـار افتـادن سرویس دهی به مشتریان بالقوه سایتتان شود.

تغییر اطلاعات – محتویات یك تراكنش نه تنها ممكن است مورد استراق سمع واقع شود بلكه ممكن است در مـسیر نقـل و انتقـال تغییر نماید چه بصورت كینه جویانه چه بطور اتفاقی. اسامی كاربران، شماره های كارتهای اعتباری، و میزان پرداخت هـا كـه بـدون امنیت لازم و كد گذاری مناسب ارسال شده باشند همه آمادگی پذیرفتن چنین تغییراتی را دارند.

شركت Yankee group مستقر در بوستون امریكا در نتیجه نظرسنجی از 700 نفر كه متخصص در زمینه امنیت بودند متوجـه شـد كه 55 درصد تجاوزها به اطلاعات شبكه ، توسط افراد داخل شركت بوده و در مقابل تنهـا 25 درصـد تجاوزهـا توسـط افـراد خـارج سازمان گزارش شده است.

شركتها باید كامپیوترهای سرویس دهنده وب تجارت الكترونیك خود را در مقابل دسترسی غیرمجاز ایمن سا زند و باید توجـه كـرد كه دسترسی غیرمجاز ممكن است از طریق اینترنت باشد یا از طریق داخل شركت.

حفاظت در مقابل تخریب كامپیوتر سرویس دهنده وب:

صفحه اولیه (Home Page) سایت شـركت ،تـصویر آن شـركت در مقابـل دنیـا اسـت.بـرای خیلـی هـا صـفحه اولیـه سـایت یعنـی شركت.متجاوزان با دستكاری این صفحه شركتها را تخریب می كنند . نقطه آغـاز فعالیتهـای غیرقـانونی:بـرای شـركتهای كوچـك و متوسط كه درگیر رقابت بازار نیستند احتمال اینكه خرابكاران به فكر حمله به آنها بیفتند خیلـی كـم اسـت.چنانچـه سیـستم هـای متصل به اینترنت از لحاظ امنیتی برای متجاوزان ضعیف باشد متجاوزان می توانند این سایتها را به عنـوان محـل ذخیـره اطلاعـات سرقتی انتخاب كرده و تبدیل به نقطه آغاز حمله به سایتهای با ارزش دیگر كنند.

جلوگیری از ارائه خدمات:نوع دیگر حمله اقدام به تعطیلی یك كـامپیوتر سـرویس دهنـده بـه وسـیله مواجـه سـاختن آن بـا انبـوه درخواستهاست كه در واقع پیشگیری از آن نسبتا دشوار است.

انواع فناوری حفاظت و ایمنی

مطلوبترین فن آوری های امنیتی عبارتند از :

.1 Routers مسیریاب

2.دیواره های آتش Internet Firewalls

3.سیستم های كشف تجاوز Intrusion Detection System

4 Public Key Infrastructure PKI .

.5 Authentication شناسایی

.6 Encryption رمزنگاری

– مسیریاب(Router)

مسیریاب عبارت از وسیله ای است كه مدیریت ترافیك شبكه را انجام می دهد .این وسیله بین زیر شبكه ها نشسته و رفت و آمد بـه سمت بخشهایی را كه به آنها متصل است كنترل می كند .به طور طبیعی مسیریابها محلی مناسب برای اعمـال قواعـد فیلتـر كـردن بسته ها بر اساس سیاستهای امنیتی هستند.

دیواره آتش( Fire wall )

یكی از مؤلفه های مهم حفاطت سایتهای اینترنتی ، سیستم دیواره آتش می باشد. سیستم های دیوار آتش كامپیوتر یـا مسیریابهایی هستند كه آمدوشـد بـه اینترنـت را بـسته بـه قواعد از پیش تعریف شده فیلتـر مـی كننـد.سیـستم هـای دیوار آتش به دو نوع اصلی ارائه می شوند:

1 Packer Filter –

یا فیلترهای بسته ای كه مبتنی بر مسیریاب می باشند.ایـن فیلترها هر بسته داده وارده و صادره را بررسی می كنند تـا مطمئن شوند كه اجازه ورود یا خـروج از شـبكه بـر ا سـاس قواعد از پیش تعریف شده را دارند یا خیر.

2 Application Gateways –

پل های ارتباطی كه بر روی یك كامپیوتر اختصاصی یا كامپیوتری كه به طور ویژه ایمن شده است اجرا می شود . این نـرم افـزار هـا عمل فیلتر كردن بسته ای را روی برنامه های كاربردی اجرا شده انجام می دهن د . این سیستم هـا دارایProxy بـوده و آدرس هـا را ترجمه می كنند.

سیستمهای كشف تجاوز (IDS)

متجاوز اینترنتی (Hacker, Cracker) كسی است كه بدون اجازه به سیستم شما وارد می شود یا سیستم شما را مورد سوء اسـتفاده قرار می دهد . كلمه سوء استفاده معنای گسترده ای دارد و می تواند شامل دزدی كلان مثل ربودن داده های محرمانه تا استفاده غیر مجاز از پست الكترونیك شما به منظور ارسال نامه های تبلیغاتی از نوع مزاحمتهای اینترنتی معروف به Spam باشد

یك سیستم كشف تجاوزIDS كارش كشف چنین تجاوزاتی است . این سیستم را می توان به مقوله های زیر تقسیم نمود:

1. سیستم های كشف تجاوز شبكه ای System NIDS Network Intrusion Detection

.2 تأیید كننده های صحت سیستم System Integrity Verifiers SIV

.3 Log file Monitors Log مانیتورهای

4. سیستم های فریب :

f سیستم های كشف تجاوز شبكه ای NIDS

این سیستم ها بسته های داده را كه روی كابل شبكه می باشد مورد نظارت قـرار مـی دهنـد و تـشخیص اینكـه یـك  خرابكار مشغول داخل شدن به سیستم است یا خیر یا اینكه سیستم را از ارائه خدمات باز می دارد یـا خیـر بـر عهـده دارد.

f تأیید كننده های صحت سیستم SIV

این تأیید كننده ها پرونده های سیستمی را به منظور یافتن اینكه چه موقع یك متجاوز آنها را تغییر می دهد نظـارت می كنند.مشهورترین این تأییدیه ها Trip Wire . است یك SIV مـی توانـد مؤلفـه هـای دیگـری همچـون WindowsRegistry را هم نظارت كند تا علامتهای معروف را پیدا كند .این سیستم ضمنا می تواند زمانی را كه یك كاربر عـادی به امتیازات مدیر شبكه دست پیدا می كند تشخیص دهد.

f مانیتورهایLog

این سیستم پرونده های Logرا كه توسط سرویسهای شبكه ای تولید می شوند مراقبت می كننـد . شـبیه كـار NIDS این سیستم ها در داخل پرونده های Log به دنبال الگوهایی می گردند كه حاكی از هجوم یك مهاجم . باشد

f سیستمهای فریب

این سیستم ها شبیه خدماتی هستند كه هدف آنها عبارت از شبیه سازی رخنه های مشهور است تـا خرابكارهـا را بـه دام بیندازد.این سیستم ها همچنین از حقه های ساده هم استفاده می كنند .مانند نامگذاری مجدد عضویت یك مـدیر شبكه درNT و تعریف یك عضویت كاذب بدون هیچ اختیار.

I ، رمزنگاری ، امضاء دیجیتالی :

Public Key Infrastructure) PKI ) به عنوان استانداردی كه عملا برای یكی كردن امنیت محتوای دیجیتالی و فرایند های تجارت الكترونیك و همچنین پرونده ها و اسناد الكترونیكی مورد استفاده قرار می گرفت ظهور كرد .این سیستم به بازرگانان اجازه می دهـد از سرعت اینترنت استفاده كرده تا اطلاعات مهم تجاری آنان از رهگیری ، دخالت و دسترسـی غیـر مجـاز در امـان بمانـد .یـك PKI كاربران را قادر می سازد از یك شبكه عمومی ناامن مانند اینترنت بـه صـورتی امـن و خـصوصی بـرای تبـادلات اطلاعـات اسـتفاده كنند.این كار از طریق یك جفت كلید رمز عمومی و اختصاصی كه از یك منبع مسؤل و مورد اعتماد صادر شده و به اشتراك گذارده می شود انجام گیرد.

این سیستم مجموعه ای است از استانداردها ، فناوری ها و روالهایی كه برای معتبر سازی و انتقال داده ها بكار گرفته مـی شـوند .بـا استفاده از كلیدهای دیجیتالی عمومی و اختصاصی به منظـور رمزنگـاری و رمزگـشایی ، همچنـین بـا اسـتفاده از گواهینامـه هـای دیجیتالی كه حاوی كلیدهای اعتباری و عمومی كاربر بوده و اعتبار و هویت كاربر را اعلام می كننـد امكـان انتقـال امـن داده هـای الكترونیكی را فراهم می آورد.

وقتی دو نفر بخواهند با هم ارتباط برقرار كنند ، فرستنده اطلاعات ،از كلید عمومی مربوط به دریافت كننده اطلاعات برای رمزكردن اطلاعات استفاده كرده ، آن را ارسال می كند.سپس دریافت كننده از كلید خصوصی خودش برای رمزگشایی اطلاعات و خوانـدن آن استفاده می كند.از آنجا كه این كلید ، خصوصی است و برای كس دیگر قابل دسترس نیست فقـط آن كـسی كـه اطلاعـات بـرای او ارسال گردیده می تواند آن را بخواند.

رمزنگاری (Encryption)

رمزنگاری عبارتست از تبدیل داده ها به ظاهری كه نهایتا بدون داشتن یك كلید مخصوص قرائت آن غیر ممكن باشد.هدف آن حفظ حریم خصوصی است با پنهان نگاه داشتن اطلاعات از افرادی كه نباید به آنها دسترسی داشته باشند.

رمزگشایی برعكس رمزنگاری عبارتست از تبدیل داده های رمز شده به صورت اولیه و قابل قرائت.

ابتدا بایست برای هر نفر دو كلید وجود داشته باشد.یك كلید عمومی كه همه می تواننـد بـه آن دسترسی داشته باشند و یك كلید خصوصی كـه فقـط و فقـط خود فرد آنرا در اختیار دارد.این زوج كلید منحصر به فرد است و با داشتن یكی ، دیگری را نمی توان تولید كرد.این كلیدها در مركزی به نام Certificate Authority تولیـد مـی شـوند و بـه افراد داده می شوند.حال اگر فرسـتنده بخواهـد بـرای گیرنـده  پیامی بفرستد آنرا با كلید عمومی گیرنده رمز می كند و مطمئن خواهد بود كـه فقـط گیرنـده مـی توانـد آنـرا بخوانـد چـون كلیـد  خصوصی گیرنده فقط در اختیار خود اوست.