1464108950_vector_65_10

امنیت تجارت الکترونیک(بخش۳)

تجارت الکترونیک

ماده ۱- این قانون مجموعه اصول و قواعدی است که برای مبادله آسان و ایمن اطلاعات در واسطه‌های الکترونیکی و با استفاده از سیستمهای ارتباطی جدید به کار می‌رود.

ماده ۲- الف –داده پیام[۱]: هر نمادی از واقعه، اطلاعات یا مفهوم است که با وسایل الکترونیکی، نوری و با فناوری‌های جدید اطلاعات تولید، ارسال، دریافت، ذخیره یا پردازش می‌شود.

ب- اصل ساز[۲]: منشا اصلی داده پیام است که داده پیامبه وسیله او یا از طرف او تولید یا ارسال می‌شود اما شامل شخصی که در خصوص داده پیام به عنوان واسطه عمل می‌کند نخواهد شد.

ج- امضای الکترونیکی[۳]: عبارت از هر نوع علامت منضم شده یا به نحو منطقی متصل شده به ((داده پیام)) است که برای شناسایی امضاء کننده ((داده پیام))، مورد استفاده قرار می گیرد.

ماده۳- در تفسیر این قانونهمیشه باید به خصوصیت بین المللی، ضرورت توسعه هماهنگی بین کشورها در کاربرد آن و رعایت لزوم حس نیت توجه کرد.

ماده ۴- در مواقع سکوت و یا ابهام باب اول این قانون، محاکم قضایی باید بر اساس سایر قوانین موضوعه و رعایت چهارچوب فصول و مواد مندرج در این قانون، قضاوت نمایند.

ماده ۷۴- هر کس در بستر مبادلات الکترونیکی با تکثیر، اجرا و توزیع (عرضه و نشر) مواردی که در قانون حمایت حقوق مولفان، مصنفان و هنرمندان مصوب ۳/۹/۱۳۴۸٫ و قانون ترجمه و تکثیر کتب و نشریات و آثار صوتی مصوب ۲۶/۹/۱۳۵۲ و قانون حمایت از حقوق پدید آورندگان نرم افزارهای رایانه ای مصوب ۴/۱۰/۱۳۷۹، منوط بر آنکه امور مذکور طبق مصوبات مجلس شورای اسلامی مجاز شمرده شود، در صورتی که حق تصریح شده مولفان را نقض نماید به مجازات سه ماه تا یک سال حبس و جزای نقدی به میزان پنجاه میلیون (۰۰۰/۰۰۰/۵۰) ریال محکوم خواهد شد.ماده ۷۵- متخلفین از ماده (۶۴) این قانون و هر کس در بستر مبادلات الکترونیکی به منظور رقابت، منفعت و یا ورود خسارت به بنگاههای تجاری، صنعتی، اقتصادی و خدماتی، با نقص حقوق قراردادهای استخدام مبنی بر عدم افشای اسرار شغلی و یا دستیابی غیرمجاز، اسرای تجاری آنان را برای خود تحصیل نموده و یا برای اشخاص ثالث افشا نماید به حبس از شش ماه تا دو سال و نیم و جزای نقدی معادل پنجاه میلیون (۰۰۰/۰۰۰/۵۰) ریال محکوم خواهد شد.

ماده ۷۶- متخلفان از ماده (۶۶) این قانون به یک تا سه سال حبس و جزای نقدی از بیست میلیون (۰۰۰/۰۰۰/۲۰) ریال تا یکصد میلیون (۰۰۰/۰۰۰/۱۰۰) ریال محکوم خواهند شد.

چارچوب تجارت الکترونیک

چارچوب های تجارت الکترونیک از سه سطح تشکیل شده است که متضمن موفقیت تجارت الکترونیک می باشند.به عبارت دیگر تجارت الکترونیک از درگیری این سه مولفه(قالب)شکل میگیرد.این برداشت در شکل ۱ نشان داده شده است.

k  امنیت تجارت الکترونیک(بخش3) k

تعریف امنیت اطلاعات

 

امنیت اطلاعات[۱]به حفاظت از اطلاعات و به حداقل رساندن خطر افشای اطلاعات در بخشهای غیرمجاز اشاره دارد.امنیت اطلاعات مجموعه ای از ابزارها برای جلوگیری از سرقت،حمله،جنایت،جاسوسی وخرابکاری و علم مطالعه روشهای حفاظت از داده ها دررایانه ها و نظامها ی ارتباطی در برابر دسترسی و تغییرات غیرمجاز است. باتوجه به تعاریف ارائه شده، امنیت به مجموعه ای از تدابیر،روشها و ابزارها برای جلوگیری ازدسترسی و تغییرات غیرمجاز در نظامهای رایانه ای و ارتباطی اطلاق میشود.

امنیت اطلاعات در تجارت الکترونیک

به‌منظور برقرارى امنیت اطلاعات درتجارت الکترونیک، استانداردها و تکنولوژى محافظتخاصى مورداستفاده قرار مى‌گیرد. متدهاى امنیت اطلاعات درواقع حاصل ترکیب مفاهیممنطقى و ریاضى است که درقالب الگوریتم‌هایى ارائه گردیده‌اند. در حال حاضر به‌طور فزاینده‌اى اطلاعات مالی، اعتبارى و شخصى از شبکه‌هاى مبتنى براینترنت در سرتاسر جهان استفاده مى‌نمایند. از سوى دیگر ازآنجایى که مسیر گردشاطلاعات و منابع روى شبکه بسیارند، لذا مشخص نمى‌باشد که اطلاعات مذکور کجا مى‌روندو چه اشخاصى از آنها بهره‌بردارى مى‌نمایند. بدین ترتیب حفظ امنیت اطلاعات از مباحثمهم تجارت الکترونیک به‌شمار مى‌آید. هرچند امنیت مطلق وجود ندارد اما لااقل براىبرخوردارى از یک وضعیت غیرشکننده مى‌باید هزینه‌هایى را صرف نمود.

اهداف اولیه یک زیر ساخت امنیت اطلاعاتی

  • محرمانگی[۱]: تمام داده های ارسالی، فقط و فقط توسط کاربر مجاز، قابل دسترسی باشد.
  • جامعیت[۲]: ارسال داده، و هرگونه تغییر داده های دریافتی (در مسیر بین مبدا و مقصد) توسط کاربر مجاز انجام شده باشد.
  • تصدیق هویت[۳]: هویت طرفین هر ارتباط، صحیح و مستند باشد.
  • سندیت: عمل ارسال و دریافت، و نیز محتوای داده، نه توسط فرستنده و نه توسط گیرنده قابل انکار نباشد.
  • کنترل دسترسی[۴]: توانایی محدود کردن و کنترل دستیابی به ماشینها و نیز داده ها.
  • در دسترس بودن: پیشگیری از محدود شدن یا از دست رفتن منابع داده ای ، به خصوص در سیستمهای توزیع شده مثل شبکه، معماری سرویس گرا[۵]

خطرات تهدید کننده تجارت الکترونیکی

 

گسترش تجارت الکترونیکی نیازمند بستری ایمن برای مخابره و دریافت اسناد بازرگانی و اطلاعات است. این فناوری نوین، در همان حال که دقت و سرعت پردازش راافزایش چشمگیری بخشیده است، باید پاسخگوی مسایل و خطراتی باشد که برای آن پیش می آید. در تجارت الکترونیکی افزون بر دو سوی اصلی بازرگانی یعنی خریدار و فروشنده بانک های این دو و واسطه ها و حمل کنندگان کالا نیز با کار درگیر هستند. به طور کلی خرید و فروش کالا در اینترنت، از هنگام دیدن کاتالوگ ها و گزینش کالا و فروشنده دلخواه تا دادن سفارش و فرستادن اطلاعات مالی خریدار و فروشنده، پذیرش و سرانجام تحویل کالا و پرداخت است.

در هر یک از گام های بالا، پیام های الکترونیکی میان خریدار، فروشنده و بانکهای آن دو با عنوان درخواست و پاسخ رد و بدل می گردد. خطراتی بسیار این کارها را تهدید می کند، که می توان گم شدن، دزدیده شدن و یا دگرگونی هر یک از پیام ها، را نام برد. البته دسته ای دیگر از خطرها مانند سیل و زمین لرزه نیز وجود دارد که به امنیت سیستم هاویا شبکه ها ربطی ندارد

،‌ اما بر کارهای سازمانی اثر می گذارد. در تجارت الکترونیکی خطرها و تهدیدها با این روش دسته بندی می شوند: برخی ارتباطات و انتقالات را تهدید می کنند، برخی دیگر منابع و چندی هم تهدیدهای انسانی هستند و خطراتی هم ممکن است از ناکارایی سیستم ریشه گیرد، یا به دست افراد غیر مجاز و سود استفاده کننده رخ دهد.

 

انواع خطرات تهدیدکننده

حملات محتوایی: این حملات، متوجه محتوای داده ارسالی هستند. در ساده ترین حالت، نفوذگر سعی می کند که ازمحتوای داده ارسالی آگاه شود، مثلا با زیر نظر گرفتن ترافیک شبکه به صورت غیر مجاز. اه حل این مشکل رمزنگاری است، به عبارتی ایجاد تغییری در شکل داده، به وسیله یک کلید و به صورت برگشت پذیر. دو نوع اصلی رمز نگاری عبارت است از:

  • روش متقارن: در روش متقارن از یک کلید برای رمزنگاری و رمز گشایی استفاده می شود.
  • روش نامتقارن:در روش نا متقارن، دو کلید وجود دارد، یک کلید عمومی که به صورت عمومی منتشر می شود، و یک کلید خصوصی که فقط در اختیار صاحب جفت کلید است. این دو کلید به صورت مکمل یکدیگر عمل می کنند، یعنی داده ای که با یکی از آن دو رمز شده باشد، فقط و فقط به وسیله دیگری قابل رمزگشایی است. با کمک این ویژگی بسیار مهم، می توان محرمانگی، سندیت و جامعیت داده ها را تضمین نمود.

اولا، داده ای که با کلید عمومی گیرنده، رمز شده باشد، فقط با کلید خصوصی متناظر( که تنها در اختیار گیرنده است) قابل رمزگشایی است. بنابراین، در صورتی که نفوذگر به اطلاعات رمز شده دست یابد، مادامی که کلید خصوصی متناظر با کلید رمز کننده را در اختیار نداشته باشد، به داده اصلی دست پیدا نمی کند.

ثانیا، اگر فرستنده، داده ای را با کلید خصوصی خود رمز کند، هر کس که کلید عمومی او را در اختیار داشته باشد، می تواند آن را رمز گشایی کند. این ویژگی، به دریافت کننده اطمینان می دهد که داده دقیقا از طرف صاحب کلید عمومی فرستاده شده است. این، مفهوم عام امضای دیجیتال است که امروزه به گستردگی در تبادلات الکترونیکی کمک می کند.

حملات ساختاری: این نوع حمله متوجه زیرساخت شبکه از قبیل مسیریاب ها، سرویس دهنده ها و … است. یک نکته بسیار مهم این است که ساختار و شیوه حملات مذکور به شکلی است که حمله کننده را به شدت از دید ها پنهان و شناخت حمله را بسیار مشکل می کند.

 

روشهای بالا بردن امنیت تجارت الکترونیکی

  • به جای سرورهای اشتراکی، از یک سرور اختصاصی برای سایت خود استفاده کنید.
  • همیشه گوش به زنگ بسته های به روزرسانی و وصله‌های امنیتی برنامه‌های سرورتان باشید و به سرعت آن‌ها را نصب کنید.
  • از امنیت فیزیکی سرور و داده‌های خود مطمئن شوید.
  • برای امنیت داده‌های کاربران، با شرکت هاستینگ قرارداد رسمی ببندید.
  • پیاده‌سازی Code Sanitizing برای فیلدهای ورود اطلاعات.
  • سایت خود را هم به لیست سایت‌هایی که روزانه مرور می‌کنید، اضافه نمایید.
  • همیشه ایمیل‌هایی را که از سرور شما فرستاده می شوند، اسکن کنید.

نتیجه گیری

اگرچه اغلب سازمانها تمایل به داشتن شبکه های ایمن دارند ، ارائه تعریف واحدی از امنیت که همه نیازهای شبکه را تأمین نماید ممکن نیست. درعوض هرسازمان باید ارزش اطلاعات خودرا ارزیابی کند وسپس یک خطمشی امنیتی برای مواردی که باید مورد محافظت قرارگیرد مشخص نماید. سیستم امنیت اطلاعات شاید پرهزینه و وقتگیر به نظر آید ، اما با توجه به اهمیت اطلاعات در بقای سازمان وجود چنین سیستمی بسیار ضروری مینماید. اعمال چنین سیستمی برای هرسازمان لازم بوده و بسته به سطح اطلاعات و ارزش اطلاعات سامان گستردگی متنوعی خواهد داشت،اما هرگز محو نخواهد شد .در کل لازم است سازمانها سه شرط زیر را در طراحی سیستم امنیت اطلاعاتی خود مدتظرداشته باشند:

  • اطمینان ازسلامت اطلاعات چه درزمان ذخیره و چه بهنگام بازیابی و ایجاد امکان برای افرادی که مجاز به استفاده ازاطلاعات هستند.
  • دقت:اطلاعات چه از نظر منبع ارسالی و چه در هنگام ارسال و بازخوانی آن باید از دقت و صحت برخوردار باشد وایجاد امکاناتی درجهت افزایش این دقت ضرورت خواهد داشت.

قابلیت دسترسی: اطلاعات برای افرادی که مجاز به استفاده ازآن میباشند باید در دسترس بوده و امکان استفاده در موقع لزوم برای این افراد مقدور باشد

مراجع

[۱] عبدالرضا دادائی ،امنیت تجارت الکترونیک ،۶آپریل ۲۰۱۲

[۲] سام منصور موید، تجارت الکترونیک ونقش موثرآن درصنعت نفت(شرکت مهندسی وتوسعه نفت(اکتشاف وتولید شماره ۷۱))،شهریور۸۹

[۳] کبرا قاسمی شبانکاره-وحیدمختاری-منصور امینی لاری امنیت وتجارت الکترونیک، تهران ۳و۴آذرماه۱۳۸۶

[۴]Protecting Port 80:Techniques for Eliminating ,Web Application Vulnerabilities, By AbhishekChauhan, CTO, Teros, Updated April 2004

[5]C. Anley. Advanced SQL Injection in SQL Server Applications.Technical report, Next Generation Security Software, Ltd, 2002.

[6]J.Bercegay. Double Choco Latte Vulnerabilities. http://www.gulftech.org/

[7]www.maghaleh.net

[8]www.nioc.ir

[9]www.negahbaan.com

[10]www.rasekhon.com

[11]www.seemorgh.com/lifestyle

[12]www.aftab.com