پایان نامه درباره :بررسی سطح امنیت در تجارت الکترونیک (مورد مطالعه شرکت های ... |
 |
تمامیت/ درستی[۶۴]
زمانی که یک طرف غیرمجاز بتواند جریان اطلاعات یک پیام را تغییر دهد، درستی مورد تهدید قرار میگیرد؛ معاملات بانکی محافظت نشده به مقدار زیادی در معرض نقض درستی قرار دارند. باید توجه داشت که تغییر ظاهر یا حقهبازی، یکی از ابزارهای ایجاد خرابی در وبسایت میباشد. درنتیجه از این طریق و با بهره گرفتن از یک حفرۀ امنیتی در یک سرور نام دامنه[۶۵]، مجرمان میتوانند آدرس وب سایت خود را به منظور کلاهبرداری از بازدیدکنندگان وب سایت جایگزین نمایند. تهدیدات درستی میتوانند اطلاعات مالی، پزشکی یا نظامی را تغییر دهند (سنگوپتا و همکاران، ۲۰۰۵) و نتایج جدی را برای افراد و کسب و کارها داشته باشد.
از سوی دیگر در سیستمی که عناصر آن با یکدیگر برای رسیدن به هدف مشترکی همکاری دارند، حفظ درستی به معنی پیشگیری از بروز مشکل در این همکاری و پیوسته نگه داشتن عناصر سیستم میباشد (براتی پور، ۱۳۸۶). از این رو درستی یا صحت به این معنی است که داده ها نمی توانند توسط افراد غیرمجاز ساخته، تغییر یا حذف گردند. درستی، همچنین یکپارچگی دادههایی که در بخشهای مختلف پایگاه داده ذخیره شده اند را تحت الشعاع قرار میدهد (قاسمی شبانکاره و همکاران، ۱۳۸۶).
البته لازم به ذکر است که نقض کردن درستی می تواند انواع مختلفی، از جمله حذف، تغییر، افزوردن و نقض یکپارچگی را داشته باشد (جعفری، ۱۳۸۵). در واقع صحت یا درستی را میتوان به عنوان یک نیاز برای اطمینان از این که اطلاعات به صورت تصادفی یا عمدی تغییر نکرده اند و کامل هستند، تعریف کرد. اما باید در نظر داشت که از دست دادن داده ها می تواند نتیجۀ خرابی سختافزار یا به علت عملکرد کاربر باشد (دروین و همکاران، ۲۰۰۷).
از این رو درستی داده ها بیان می کند که ارسال داده و هرگونه تغییر و دستکاری داده های دریافتی (در بین راه)، باید توسط کاربر مجاز انجام شده باشد. یعنی، اولاً داده را کاربر غیرمجاز ایجاد نکرده باشد و ثانیاً داده در بین راه (در هنگام انتقال)، توسط کاربر غیرمجاز تغییر نکرده باشد. بنابراین سرویس درستی می تواند برای پیامهای ساده یا فیلدهای انتخابی در یک پیام استفاده شود (عباس نژادورزی و عباس نژادورزی، ۱۳۸۹).
صحت اطلاعات معمولاً تنها برای مصرف کننده و مخاطب آن اهمیت دارد و به طور کلی میتوان صحت مباحث رایانهای را به دو دسته تقسیم کرد:
ایمنسازی فیزیکی تجهیزات سخت افزاری. به این معنی که از کابلهای شبکه سرورها، منبع تغذیه و غیره، محافظت شود تا سالم بمانند.
موارد مربوط به کارکرد درست سیستم و دردسترس بودن تمام سرویسها و انتظارات (جعفری، ۱۳۸۵).
عدم انکار[۶۶]
در طول سالهای اخیر رشد قابل توجه اینترنت و به طور کلی شبکه های باز، مشکلات امنیتی متعددی را ایجاد کرده که انکار یکی از آنهاست. غیرقابل انکار بودن یکی از الزامات مهم در معاملات الکترونیکی به منظور حفاظت از مشتریان و بازرگانان است؛ زیرا در تجارت الکترونیک، کسب و کار را نمی توان به صورت چهره به چهره انجام داد و این واقع بینانه نیست که انتظار رود همۀ طرفین به یکدیگر در تمام مراحل خرید اعتماد داشته باشند و همکاری نمایند. از آنجایی که در بحث تجارت الکترونیک شرکت کنندگان مختلفی وجود دارند که الزامات متفاوتی داشته و متفاوت عمل می کنند و به علاوه محیط تقسیم شده و ناهمگنی وجود دارد که تعاملات تجارت الکترونیک را احاطه مینماید، غیرقابل انکار بودن به عنوان الزامی کلیدی برای طراحی مدل معاملات و پروتکلها شناخته می شود. به طوری که نباید برای یک بازرگان امکان پذیر باشد که ادعا کند، یک کالای الکترونیک را فرستاده درحالی که این کار را انجام نداده و همچنین نباید برای یک مشتری امکان پذیر باشد که دریافت کالا را به دروغ انکار نماید. بنابراین باید شواهد و مدارک برای حل و فصل اختلافات به وجود آمده برای افراد شرکت کننده در یک سناریوی تجارت الکترونیک جمع آوری گردد. در زمینۀ غیرقابل انکار بودن راهحلهایی مطرح است که یکی از آنها، استفاده از شخص ثالث مورد اعتماد[۶۷]است (آنیوا، ژو و لوپز[۶۸]، ۲۰۰۴).
سرویس امنیتی غیرقابل انکار بودن با سایر سرویسهای امنیتی تفاوت دارد و هدف آن محافظت در برابر حملات مزاحمان از بیرون است، یکی از این حملات، عبارت است از انکار کامل یک رویداد یا فعالیت خاص در میان معاملات. انکار خدمات نیازمند حل و فصل شدن از طریق شواهد یک معامله که توسط خدمات امنیتی غیرقابل انکار بودن تولید، جمع آوری و نگهداری شده اند، میباشد. باید در نظر داشت که سرویس امنیتی غیرقابل انکار، یکی از ویژگیهای اساسی سرویسهای امنیتی در تجارت الکترونیک جهت ایجاد مبنای قانونی در معاملات الکترونیکی است (تک و همکاران، ۲۰۰۳).
به طور سنتی غیرقابل انکاربودن از طریق عقد قرارداد بین شرکای تجاری و سپس قرارداد محضری با شخص ثالث مورد اعتماد قابل دستیابی است. ارسال مدارک همراه با بهره گرفتن از پست ثبت شده، اثر مهر تمبر، امضاء به روز و ثبت فرایند انتقال و پذیرش میباشد. اما درعرصۀ الکترونیک غیرقابل انکار بودن را میتوان از طریق امضاء دیجیتال بدست
آورد. امضاء دیجیتالی که توسط یک مرجع قابل اعتماد صادر شده است، نمیتواند جعلی باشد و اعتبار آنها قابل بررسی است ( سنگوپتا و همکاران، ۲۰۰۵).
قابلیت اطمینان[۶۹]
قابلیت اطمینان یکی از الزامات اصلی برای وب سایتها به منظور انجام فعالیتهای تجارت الکترونیک میباشد. ناتوانی سیستم تجارت مبتنی بر وب برای پاسخگویی به خواسته های مشتریان در زمان نیاز و به شیوهای سریع و کارآمد می تواند باعث از دست دادن مقدار قابل توجهی از درآمد و آسیب رسیدن به شهرت تولید کننده گردد. وزارت دفاع آمریکا، قابلیت اطمینان را به این صورت تعریف می کند: احتمال این که آیتمی (بخش)، عملکرد مورد نیاز را تحت شرایط بیان شده برای یک دورۀ زمانی خاص انجام دهد؛ همچنین از لحاظ نرم افزاری، براساس گزارش تضمین امنیت نرم افزار[۷۰]، قابلیت اطمینان به صورت زیر تعریف می شود: احتمال بدون خرابی بودن عملیات یک نرمافزار برای یک دورۀ زمانی مشخص یا مورد انتظار و یا برای تعداد عملیات مشخص و مورد انتظار در محیط مشخص و تحت شرایط عملیاتی مشخص یا مورد انتظار میباشد (ناهاری و کراتز، ۲۰۱۱). از سوی دیگر، اعتبار یا قابلیت اطمینان دلالت بر موثق بودن داده ها و نیز اصل بودن آنها به صورتی که اطمینان حاصل شود که داده ها کپی یا جعلی نیستند، دارد.
البته لازم به ذکر است که قابلیت اطمینان یک سیستم به فاکتورهایی بستگی دارد و شامل موارد زیر میباشد:
طراحی، پیاده سازی و آزمایش مناسب
عملکردن در محدودیتهای طراحی
هدایت کردن و نگهداری مناسب
محیط فیزیکی
مدت زمان کارکرد (ناهاری و کراتز[۷۱]، ۲۰۱۱).
یک سیستم تجارت الکترونیکی زمانی قابل اعتماد است که قابلیت بازیابی معاملات کاربر، حتی در زمان از کارافتادن را داشته باشد. مشخصۀ پایۀ سیستم تجارت الکترونیک در ارتباط با قابلیت اطمینان، امنیت معاملات الکترونیکی است.
در دسترس بودن[۷۲]
با ورود تجارت الکترونیک، تنها الزام تحویل فوری نمی باشد؛ بلکه دسترسی تمام مدت به خدمات یکی از جنبه های دیگری است که به طور گسترده مورد توجه مشتریانی که از خدمات استفاده می کنند، قرار دارد (شاه و سیدیکویی[۷۳]، ۲۰۰۶).
در واقع دردسترس بودن یکی از ارکان امنیت است که به معنی دایر بودن، قابل استفاده بودن و سرویسدهی مناسب و مورد انتظار سیستم میباشد و اصطلاحی است که برای شق خاصی از صحت به کار میرود. وقتی که منابع مختلف موجود در یک سیستم رایانهای همچون تجهیزات، پردازههای نرمافزاری و … به درستی کار کنند و وظایف مورد انتظار را انجام دهند، سرویسهای مختلف سیستم در دسترس و آماده خواهد بود. دسترسیپذیری یک سیستم علت وجودی یک فضای رایانهای است و در حقیقت، نخستین موضوع امنیتی در بحث امنیت فضای رایانهای به شمار میرود؛ زیرا اگر دسترسی به سیستم رایانهای ممکن نباشد، اصلا فضای رایانهای در کار نخواهد بود تا دیگر موضوعات امنیت در آن موضوعیت یابد. به همین دلیل، برخی مراجع حفظ دسترسیپذیری را مهمترین هدف و انسداد سرویسدهی را مهمترین تهدید برای امنیت میشمارند.
دردسترس بودن اغلب به توافقات در زمینۀ سطح خدمات وابسته است و میتوان آن را از راههای مختلف تعریف یا طبقه بندی کرد، به طور مثال برحسب دردسترس بودن داده، دردسترس بودن سیستم، دردسترس بودن برنامۀ کاربردی، دسترسی به زیربنا و….. در دسترس بودن به این معنی است که داده ها، پایگاههای داده و سیستمهای حفاظت امنیت در هنگام نیاز در دسترس هستند و درواقع پیشگیری از محدود شدن یا از دست رفتن منابع دادهای به ویژه در سیستمهای توزیع شده مثل شبکه را بیان می کند. هم X.800 و هم RFC2828، دسترسی پذیری را به عنوان یک خصوصیت سیستم تعریف می کنند (عباس نژادورزی و عباس نژادورزی، ۱۳۸۹).
سیاستهای امنیتی
باتوجه به تهدیدات زیادی که امروزه در محیطهای سایبری وجود دارد، سازمانها نیازمند کنترلهای امنیتی برای محافظت از اطلاعات با ارزش خود میباشند. براساس دیدگاه هون و الوف (۲۰۰۲)، بدون شک یکی از مهمترین کنترلها، سیاست امنیت اطلاعات است و در همین راستا، وایت من و همکارانش (۲۰۰۱)، بیان کردند که توسعۀ یک سیاست امنیت اطلاعات، اولین گام در جهت آماده شدن یک سازمان در برابر حملات از منابع داخلی و خارجی میباشد (هون و الوف، ۲۰۰۲؛ وایت من و همکارانش، ۲۰۰۱، به نقل از کنپ، موریس، مارشال و برد[۷۴]، ۲۰۰۹).
از جهتی دیگر به منظور اثربخشی مدیریت امنیت، نیاز است که عوامل فنی و اجتماعی به طور همزمان در نظر گرفته شوند، در واقع سیاستهای امنیتی، این عناصر را در یک برنامه منسجم که سازمان برای اجرای امنیت استفاده می کند، ادغام مینماید (پارکر، ۱۹۹۸؛ بارمن، ۲۰۰۲؛ بسکرویل و سیپونن، ۲۰۰۲؛ گول و همکاران، ۲۰۰۶، به نقل از گول و چنگالر اسمیت[۷۵]، ۲۰۱۰). لازم به ذکر است که براساس دیدگاه افرادی چون وارمن (۱۹۹۲)، هیند (۲۰۰۲) و ون سلمز و ون سلمز (۲۰۰۴)، سیاستهای امنیتی در هسته اصلی استراتژی های یک سازمان قرار دارند (وارمن، ۱۹۹۲؛ هیند، ۲۰۰۲؛ ون سلمز و ون سلمز ۲۰۰۴ ، به نقل از گول و چنگالر اسمیت، ۲۰۱۰)، اما برای فهم آنها، توجه کمی اختصاص داده شده است.
دوهرتی و فول فورد (۲۰۰۶)، استدلال کردند که همترازی سیاستهای امنیت اطلاعات با برنامه های استراتژیک سیستمهای اطلاعاتی ممکن است یکی از راههای ایجاد سیاستهای مرتبط بیشتر برای مدیران باشد. از سوی دیگر کاریدا
و همکارانش(۲۰۰۵) بیان نمودند که مشخصات سازمانی نقش مهمی را برای موفقیت پیادهسازی و تطبیق سیاستهای امنیتی ایفا می کند (دوهرتی و فول فورد ۲۰۰۶؛ کاریدا و همکارانش ۲۰۰۵، به نقل از هاگن و همکاران، ۲۰۰۸).
مفهوم سیاست را میتوان از دو منظر مورد بررسی قرار داد که در اینجا، ابتدا سیاستهای کسب و کار و سپس سیاستهای امنیتی را مورد بررسی قرار میدهیم. براین اساس، در یک دیدگاه کلی میتوان گفت که سیاست تجاری توصیف کنندۀ دانش، مهارت ها و نگرشهای تشکیل دهندۀ مدیریت جامع یک شرکت است (اندرو، ۱۹۸۷). در بعضی موارد اصطلاح سیاست با اصطلاح استراتژی تعویض می شود در حالی که در موارد دیگر این اصطلاح نشان دهندۀ واکنشهای خاص به موقعیتهای تکراری است (انساف، ۱۹۶۵). عدهای معتقدند که خوب تعریف کردن سیاستها لزوماً منجر به خوب مدیریت کردن مؤسسات نخواهد شد و مدیران خوب باید تصمیمات سیاسی را به دیگران واگذار کنند. البته به این معنی نیست که سیاستهای سازمانی ضروری نیستند، اما به جای آن سیاستها باید در طول زمان و از ترکیب تصمیمهای عملیاتی بدست آیند (ورپ،۱۹۶۷). هدف سیاست، ایجاد جهت مدیریتی و پشتیبانی در زمینۀ امنیت اطلاعات با توجه به توافقات در رابطه با الزامات کسب و کار و قوانین و مقررات مرتبط است (اندرو، ۱۹۸۷؛ انساف، ۱۹۶۵؛ ورپ، ۱۹۶۷، به نقل از کنپ و همکاران، ۲۰۰۹).
از بعدی دیگر در بیان مفهوم سیاستهای امنیتی باید گفت که این سیاستها درواقع قواعد حاکم بر انتخابهای رفتاری یک سیستم میباشند و آنها به طور فزآیندهای به عنوان ابزارهای پیادهسازی سیستمهای انعطافپذیر و انطباقی برای مدیریت خدمات اینترنتی، شبکه ها و سیستمهای امنیتی استفاده میشوند. علاوه براین، یک نیاز برای تشخیص عمومی سیاست امنیتی در یک مقیاس وسیع برای سیستمهای چند سازمانی که کنترل دسترسی در آنها با مؤلفه های ناهمگون و متنوع پیادهسازی شده است، وجود دارد (سلومن و لوپو[۷۶]، ۲۰۰۲).
همچنین سیاستهای امنیت اطلاعات سازمانی به توصیف استراتژی های کلی و برنامه ریزی برای اطمینان از امنیت اطلاعات در یک سازمان می پردازد (گول و چنگالر اسمیت، ۲۰۱۰). از این رو باید به این موضوع توجه کرد که یکی از مهمترین کنترلها در زمینۀ امنیت اطلاعات، سیاستهای امنیت اطلاعات است. این سیاستها در واقع یک دستور مستند شده در زمینۀ امنیت اطلاعات در درون یک سازمان هستند و درواقع یک سند است که تعهد و حمایت مدیریت را در زمینۀ امنیت اطلاعات نشان میدهد و علاوه براین به تعریف نقش امنیت اطلاعات در زمینۀ دستیابی و حمایت از چشم انداز و مأموریت سازمان می پردازد. اساساً سیاستهای امنیت اطلاعات به منظور توضیح الزام در زمینۀ امنیت اطلاعاتی است که برای تمام کاربران منابع اطلاعاتی سازمان مستند شده اند. عناصر سیاستهای امنیت اطلاعات برروی بخشهای مختلف به منظور ایجاد یک سند تمرکز دارد و لازم به ذکر است که سیاستهای امنیتی یک پیوند را بین تحقیقات امنیتی و اجرای آن در عمل تشکیل می دهند، اما به رغم این که سازمانها در ایجاد و اجرای سیاستهای امنیتی سختکوش هستند، این سیاستها معمولاً در تمام سطوح سازمانی بیاثر، غیرضروری و غیرقابل اجرا میباشند. علاوه بر این، کارکنان سیاستهای امنیتی را به عنوان مانعی برای بهرهوری یافتهاند (هون و الوف[۷۷]، ۲۰۰۲) و تصور می کنند که سیاستهای امنیتی ابزاری هستند که مدیران از آنها برای نظارت و کنترل استفاده می کنند. با این وجود اعمال سیاستهای امنیتی برای بقای سازمانها به منظور اطمینان از صحت و محرمانه بودن اطلاعات، دردسترس بودن خدمات و عملیات بیوقفه فرآیندهای کسب و کار حیاتی میباشند.
در این راستا وینت (۲۰۰۵)، سیاستهای امنیتی را به عنوان یک اقدام بازدارنده مطرح نمود و استدلال کرد که سیاستهای امنیت اطلاعات زمانی مؤثر است که حوادث سوء استفاده از کامپیوتر و حوادث جدی گزارش شود (وینت۲۰۰۵، به نقل از هاگن و همکارانش، ۲۰۰۸) و در حقیقت سیاستهای امنیت اطلاعات نشان دهندۀ صحت، در دسترس بودن و محرمانگی داده های الکترونیکی است که در درون سیستمهای اطلاعاتی نگهداری و مبادله میشوند.
در مرحلۀ تعیین سیاستهای امنیتی، سازمانها با بهره گرفتن از الزامات امنیتی و گزارش تحلیل ریسک به عنوان ورودیهای مرحله، مجموعه ای از سیاستهای امنیت تجارت الکترونیک را ایجاد مینمایند. علاوه براین نکتهای که مطرح می شود این است که در بیانۀ سیاستهای امنیت یک سری قوانین و مباحث سطح بالا در نظر گرفته می شود، اما هیچ دیدی نسبت به پیادهسازی و یا پیکربندی تجهیزات ارائه نمیگردد.
بررسیهای انجام شده در حوزۀ سیاستهای امنیت اطلاعات نشان داده است که در این حوزه به بیانۀ تعهد نیاز است و آن به تنهایی یکی از مهمترین بیانیهها در زمینۀ سیاست امنیت اطلاعات محسوب میشود و بدون این بیانیه، هر فعالیت و تلاش کارکنان در رابطه با امنیت اطلاعات اثربخش نخواهد بود و در تمام سازمان به طور جدی به کار نخواهد رفت؛ این بیانیه دلایل توسعۀ سیاست امنیت اطلاعات را توصیف و به طور بالقوهای با موضوعات توافق شدۀ قانونی مرتبط خواهد بود (هون و الوف، ۲۰۰۲).
لازم به ذکر است که سیاستهای امنیتی به طور گستردهای به عنوان ابزارهایی برای پیادهسازی امنیت سازمانی استفاده میشوند. با این وجود متریکهایی برای اندازه گیری اثربخشی آنها نداریم و همچنین استانداردهای جهانی که به عنوان معیار عمل نمایند، وجود ندارند. در ادامه موارد مطرح در حوزۀ سیاستهای امنیتی را با توجه به سه معیار فنی، محیطی و اجتماعی و درنهایت مدیریتی و سازمانی مورد بررسی قرار میدهیم.
عوامل فنی، محیطی / اجتماعی و سازمانی / مدیریتی
در طول تاریخ هرگز چشم انداز تهدیدات امنیتی به سرعت امروز نبوده است. با این وجود بسیاری از شرکتها هنوز دیوارهای بزرگی را در اطراف خود ایجاد و باور دارند که این رویکرد آنها را ایمن نگه میدارد، اما بدون دانش دقیق از چشم اندازهای امنیتی، دیواری که آنها ایجاد می کنند در معرض فروپاشی است. آنچه که مطرح است الزام دور شدن از این قلعۀ ذهنی و ایجاد پایه های امنیتی قوی و مناسب قبل از شروع به سرمایه گذاری در حوزه های جدید میباشد و در حوزۀ تجارت الکترونیک ایجاد این پایهها در واقع نیازمند یک دانش جامع در زمینۀ امنیت و الزامات تجارت الکترونیک میباشد.
درحالی که محققان زیادی تلاش خود را به تحقیق در حوزه های مختلف امنیت اختصاص دادهاند، بیشتر آنها تمایل به تمرکز در حوزۀ فنی دارند و تحقیقات بسیاری این موضوع را تأیید نمودند؛ برای مثال، در مطالعه ای که توسط سیپونن و اوینس کاکونن (۲۰۰۷) صورت گرفت، این موضوع آشکار گردید که امنیت اطلاعات به طور سنتی به جنبه های تکنولوژیکی اختصاص داده شده است و تحقیقات بیشتری در زمینۀ جنبه های غیرتکنولوژیک نیاز است (سیپونن و اوینس کاکونن، ۲۰۰۷، به نقل از هاگن و همکاران، ۲۰۰۸). در مثالی دیگر بسنارد و آریف (۲۰۰۴)، این موضوع را مطرح کردند که شیوع بالای آسیب پذیریهای کامپیوتر و امنیت اطلاعات و مشکلات مرتبط با آنها، هزینههایی را در بخشهای مختلف دربر دارد. یکی از بزرگترین مشکلات در امنیت کامپیوتر و اطلاعات بازسازی مؤثر آسیب پذیری و خسارات ناشی از
فرم در حال بارگذاری ...
|
[چهارشنبه 1400-08-05] [ 12:33:00 ق.ظ ]
|
