نیاز دائمی به امنیت در تجارت الکترونیک

[محمد پرنده]

1) مقدمه
با وجود تمام مزایایی که تجارت الکترونیکی بهمراه دارد ، انجام تراکنش ها و ارتباطات آنلاین محفلی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می کند. این مشکلات تنها مختص تجارت الکترونیکی نیست و بخشی از مشکلات گسترده ای است که در سراسر جهان، گریبانگیر سیستم های اطلاعاتی و کامپیوتری هستند. هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری، قرار می گیرند. چنین حملات امنیتی موجب میلیون ها دلار ضرر و اخلال در فعالیت شرکت ها می شوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقایص امنیتی را تا میلیاردها دلار برآورد کرده اند. با اینحال آنچه مهمتر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی)، میتوان به راحتی فرض کرد که تعداد این سوء استفاده ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد.
متاسفانه ، از آنجا که بسیاری از شرکت ها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند ، میزان دقیق خساراتی که شرکت ها از جرائم مرتبط با امنیت متحمل شده اند ، را نمی توان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی میشود که اطلاع عموم از چنین نقایصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ داراییهای خود می شود و شرکت با این کار مشریان خود و در نتیجه سود دهی اش را از دست خواهد داد. از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند، شرکت ها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند، چیزی بدست نمی آورند. با هیجانات رسانه ای که امروزه دور و بر اینترنت و قابلیت های آن وجود دارد ، حفظ یک تصویر مثبت از امنیت تجارت الکترونیکی در اذهان ، دغدغه شماره یک بسیاری از شرکت ها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است.
نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوریها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان ، در یک دهه گذشته پیشرفت قابل توجهی داشته اند. اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوریهای تجارت الکترونیکی از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکت ها دریافته اند که برای موفقیت در تجارت الکترونیکی، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت های تجارت الکترونیکی آنها می شود جلوگیری کنند.



2-1 ) نیاز دائمی به وجود امنیت در تجارت الکترونیکی
تحقیقات انجام شده در زمینه امنیت تجارت الکترونیکی ،وجود برخی از جرائم وناامنی های الکترونیکی را نشان می دهد. مشهورترین سازمان هایی که به تحقیق در این زمینه می پردازند، موسسه امنیت رایانه (CSI) Computer Intrusion Squsd و (FBI) Federal Bureu Investigation هستند. تحقیقات این موسسات از سال 1999 تا به امروز به صورت سالانه انجام می شود. تحقیقات سال 2004این موسسات، با کمک 494 وکیل امنیتی در ایالات متحده صورت گرفت و در طی آن مسائل امنیتی شرکت ها، آژانس های سازمانی، موسسات مالی، مراکز پزشکی و دانشگاه ها مورد بررسی قرار گرفتند.
به طور کلی سوء استفاده از سیستم های کامپیوتری و سایر اقدامات ضد امنیتی با روندی نزولی روبه روست. 78 درصد از 280 سازمان قربانی، مورد تهاجم ویروسی قرار گرفته اند. این آمار در سال گذشته، حدود 83 درصد بوده است. فراوانی سازمان های قربانی شده که مورد سوء استفاده های درون شبکه ای قرار گرفته اند از 80 درصد در سال 2003 به 59 درصد در سال 2004 کاهش یافته است. هم چنین، میزان حملات انکار سرویس از 37 درصد در سال 2003 به 17 درصد در سال 2004 کاهش یافته است.
بر خلاف کاهش بیان شده در بررسی CSI/FBI ، تحقیقات Computer Emergency Response Team (CERT) ، دانشگاه Carnegie Mellon بیانگر افزایشی روز افزون در زمینه جرائم الکترونیکی است. CEST تحقیقاتی است که بودجه آن توسط دولت فدرال تامین شده و در مرکزی در موسسه مهندسی نرم افزار دانشگاه CMU انجام می شود. این موسسه تحقیقاتی، در سال 1988 جهت رسیدگی به مسائل امنیتی در اینترنت به وجود آمده است.
CERT ( Response Team Emergency Computre ) این موسسه از سه گروه در دانشگاه Mellon Carnegie تشکیل شده است که نظارت بر حملات انجام شده روی سیستم کامپیوتری، تحلیل و بررسی میزان آسیب پذیری و راهنمایی و اطلاعات برای مقابله با این حملات از جمله فعالیت های آن می باشد.
همانند تحقیقات انجام شده در CSI/FBI ،گزارشات این موسسه نیز نشان می دهد که سازمانها و افراد برای مقابله با جرائم الکترونیکی دست به استفاده از فناوری ها و برنامه های نرم افزاری زیادی زده اند. آمار نشان می دهد 98 درصد افراد از فایروال، 94 درصد از سیستم های امنیت فیزیکی و 91 درصد افراد نیز از مدیریت وصله دستی استفاده کرده اند. هم چنین بنا به گفته افراد مصاحبه شده در این تحقیقات، آمار نشان می دهد که استفاده از فایروال ها بالاترین تاثیر و استفاده از مدیریت وصله کمترین تاثیر را در مقابله با این گونه جرائم داشته است.
هر چند نتایج این دو تحقیق کاملاً متفاوت است، اما آنچه که به صورت مشترک می توان از آن ها نتیجه گرفت این است که جرائم الکترونیکی و عدم وجود امنیت در تجارت الکترونیکی، هم چنان به عنوان یکی از مشکلات عمده کار با اینترنت به حساب می آید که باید با آن مقابله کرد. امروزه سازمان ها این مشکل را جدی گرفته و در مقابله و مرتفع ساختن آن شدیداً تلاش می کنند.
ادامه دارد...

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت دوم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت دوم)

2-2 ) امنیت لازمه هر کسب و کاری است
از آنجا که امروزه اینترنت به عنوان یک سیستم کنترلی بر تمام امور زیر بنایی از جمله موارد خصوصی و عمومی، مجازی و فیزیکی و امور محلی و جهانی نظارت دارد، بنابراین نمی توان انتظار داشت که سازمان های خصوصی تنها به مقوله ایمن سازی و امنیت شبکه بپردازند، بلکه باید به این مقوله از دیدگاه ملی و حتی بین المللی نیز پرداخت. در ایالات متحده ، مسئولیت عمده برقراری امنیت در دنیای مجازی از طریق بخش DHS صورت می گیرد. برای تامین این هدف ( ایمن سازی فضاهای مجازی )، DHS ، نیز به ایجاد یک بخش خصوصی به نام Strategy National The پرداخته است .
راهبردهای بخش DHS از پنج اولویت ملی تشکیل شده است :
1- سیستم ملی پاسخگوی امنیت فضاهای مجازی
2- برنامه کاهش آسیب پذیری و خطرات احتمالی موجود در فضاهای مجازی
3- برنامه های آموزشی و آگاه کننده در زمینه امنیت فضاهای مجازی
4- ایمن سازی فضای مجازی دولت
5- همکاری های بین المللی و ملی در زمینه امنیت
جهت دستیابی به این اهداف و اولویت ها باید به پنج مرحله زیر توجه داشت :
 سطح 1- کسب و کارهای کوچک / کاربران خانگی: با وجود آن که این گونه کسب و کارهای الکترونیکی، از زیر ساخت های مهم به حساب نمی آیند، اما عدم محافظت در این گونه بخش ها نیز می تواند هکرها و سایر سودجویان را در زمینه انجام جرائم الکترونیکی به هدفشان برساند.
 سطح 2- شرکت های بزرگ : این شرکت ها معمولاً بیشتر در معرض خطرات ناشی از جرائم الکترونیکی هستند. بسیاری از این شرکت ها بخشی از زیر ساخت های مهم را تشکیل می دهند، بنابراین باید در ایمن سازی سایت این شرکت ها تلاش بیشتری انجام داد. این شرکت ها باید در آینده سیاست های امنیتی خود را بر اساس برنامه ها و قوانین کاربردی که از بازده خوبی برخوردار باشد، پایه ریزی کنند.
 سطح 3- زیر ساخت ها و بخش های مهم : مسئولیت موسسات خصوصی را می توان با متحد کردن سازمانها در بخش خصوصی و همکاری تنگاتنگ آنها با دولت و مراکز آکادمیک جهت مرتفع ساختن مشکلات امنیت الکترونیکی، کاهش داد. به عنوان مثال، بخش های گوناگون دست به ایجاد مراکز تحلیلی و ترویج اطلاعات ( ( ISAC زده اند تا نه تنها بر حملات سیستم های کامپیوتری نظارت داشته باشند بلکه بتوانند به اطلاعات موجود در زمینه گرایش های گوناگون جرائم، میزان آسیب پذیری و بهترین قوانین کاربردی دست پیدا کنند.
 سطح 4- آسیب پذیری ها و مشکلات ملی : برخی از مشکلات امنیت فضاهای مجازی نیازمند راهکارهای ملی است . از آنجا که تمامی بخش های مختلف دولت از اینترنت استفاده می کنند، در نتیجه باید نظارتی دقیق بر زیر ساخت ها طبق پروتکل های تعیین شده وجود داشته باشد. همین نظارت باید بر استفاده از نرم افزارها و سخت افزارها نیز اعمال شود ( به عنوان مثال باید بر سیستم عامل های شرکت مایکروسافت نظارت وجود داشته باشد ).
 سطح 5- جهانی : اینترنت از حد و مرز جهانی برخوردار است. این بدان معنی است که وجود یک مشکل امنیتی در بخشی از جهان می تواند بر سایر بخش های آن نیز به صورت مجازی، تاثیر گذار باشد. سازمان های بین المللی باید به دنبال راهکاری جهت مقابله با جرائم الکترونیکی بوده و سعی بر شناسایی مرتکبین و به حداقل رساندن تاثیر حملات به سیستم های مجازی داشته باشند.
در ژوئن سال 2003 ، بخش DHS ، به ایجاد مرکزی تحت عنوان Division Security Cyber National ( NCSD) پرداخت تا بتوانند راهبردهای لازم در زمینه امنیت فضاهای مجازی را در ایالات متحده عملی سازند. وظائف این بخش عبارتند از : شناسایی، تجزیه و تحلیل و کاهش خطرات احتمالی ( در زمینه محیط های مجازی ) و میزان آسیب پذیری ها، ترویج اطلاعات و هشدارها در این زمینه، منسجم کردن پاسخ هایی که از این رویداد به دست می آید و فراهم آوردن کمک های فنی در تداوم اجرا و کشف برنامه های مقابله ای جدید.
2-3 ) امنیت و مسائل بنیادی آن
مقوله امنیت تجارت الکترونیکی، بسیار مهم تر از پرداختن به مزاحمین و مقابله با مجرمین الکترونیکی است. به عنوان مثال، کاربری را در نظر بگیرید که از طریق اینترنت به یکی از سرورهای وب در سایت های بازاریابی متصل شده است. از کاربر خواسته می شود تا برای دستیابی به اطلاعات مورد نظر وی، فرم های خاص مربوط به اطلاعات و مشخصات فردی را پر کند. در این شرایط، چه سوالات امنیتی باید پرسید ؟
از دیدگاه کاربران این سوالات می تواند شامل موارد زیر باشد :
 کاربران چگونه می توانند از مالکیت و اجرای وب سرورها توسط شرکت های قانونی اطمینان حاصل کنند ؟
 کاربران چگونه اطمینان حاصل کنند که صفحات وب از برخی کد ها و یا محتوای خطرناک درست نشده اند ؟
 کاربران چگونه از حفظ اطلاعات خصوصی خود در سایت ها و عدم افشای آن به دیگران اطمینان حاصل کنند ؟
از دیدگاه شرکت ها این سوالات می تواند شامل موارد زیر باشد :
 چگونه شرکت ها اطمینان حاصل کنند که کاربران تلاشی برای نفوذ به وب سرورها نداشته و یا محتوای آن را تغییر نمی دهند ؟
 شرکت ها چگونه اطمینان حاصل کنند که کاربران قصد ایجاد مزاحمت در سرورها را ( به گونه ای که دستیابی برای سایر کاربران دشوار شود ) ندارند ؟
از دیدگاه شرکت ها و کاربران :
 شرکت ها و کاربران چطور اطمینان حاصل کنند که شخص ثالثی به انجام شنود روی خط نمی پردازد ؟
 شرکت ها و کاربران چطور اطمینان حاصل کنند که تبادل اطلاعات میان سرور و مرورگر کاربر به طور کامل صورت گرفته و تغییری در آن به وجود نیامده است ؟
این مسائل، انواع اقدامات امنیتی را که ممکن است در تبادلات تجارت الکترونیکی صورت گیرد، نشان می دهد. در تبادلاتی که پرداخت های الکترونیکی در آن نقش دارند، به سایر مسائل امنیتی باید توجه داشت. در زیر به برخی از مسائل امنیتی که ممکن است در تجارت الکترونیکی روی دهد، اشاره شده است :
 تایید اعتبار (Authention) : فرآیندی که در آن ماهیت کاربران مورد شناسایی و تایید قرار می گیرد.
 تعیین حق دسترسی (Authorization ) : فرآیندی که در آن حق دستیابی به منابع خاص توسط افراد تایید شده و فرد برای استفاده از آن ها مجاز شناخته می شود.
 بررسی و بازبینی (Auditing): فرآیندی است که در آن، اطلاعات در زمینه اقدامات انجام شده در راستای دستیابی به منابعی خاص، استفاده از امتیازاتی ویژه برای دسترسی به برخی از منابع اطلاعاتی و انجام اقدامات امنیتی خاص، جمع آوری می شوند.
 محرمانه بودن : محرمانه نگه داشتن و عدم افشای برخی از اطلاعات در برابر اشخاص ثالث، افراد و برنامه های غیر مجاز.
 یکپارچگی و انسجام : فرآیندی است که در طی آن تلاش می شود تا داده های ارسال شده آسیبی ندیده، حذف نشوند و بدون تغییر باقی بمانند .
 عدم تکذیب پذیری (Nonrepudiation): قابلیتی است که در آن افراد را از نظر انکار برخی تبادلات صورت گرفته در محیط الکترونیکی محدود می کند . امضای الکترونیکی یکی از شیوه هایی است که در آن فرآیند برای ایجاد امنیت و تضمین بیشتر استفاده می شود .
ادمه دارد...

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت سوم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت سوم)

2-4 ) انواع خطرات و تهدیدها
کارشناسان مسائل امنیتی بین حملات فنی و غیر فنی تفاوت قائل شده اند . در حملات غیر فنی ، افراد سود جو دست به راههای فریب کارانه گوناگون زده اند تا بتوانند از طریق آن یکسری از اطلاعات محرمانه را به دست آورده و به وسیله آن به سیستمی حمله کرده و از آن سودجویند . به این حملات ، مهندسی اجتماعی نیز گفته می شود . حملاتی که با استفاده از صداقت دیگران صورت می گیرد نیز از این موارد است . در حملات فنی ، افراد مزاحم و سودجو از دانش نرم افزاری و سخت افزاری خود برای حمله و نفوذ به سیستم های کامپیوتری استفاده می کنند . ویروس ها یکی از حملات فنی به حساب می آیند . حملات معمولاً ترکیبی از این دونوع است به عنوان مثال فرد مزاحم ، ممکن است از یک ابزار خودکار در فرستادن یک پیام به سرویس پیام های کوتاه استفاده می کنند .
حملات غیر فنی :
حمله ای است که در آن از راه های فریب کارانه برای به دست آوردن اطلاعات مهم و حساس کاربر استفاده می شود . افراد سودجو با استفاده از این اطلاعات به شبکه راه یافته و از سیستم های کامپیوتری آن بهره برداری می کنند .
مهندسی اجتماعی :
نوعی از حملات غیر فنی است که از فشارهای اجتماعی برای فریب کاربران کامپیوتری استفاده کرده تا بتوانند به اطلاعات مورد نظر خود دست یافته و از منابع شبکه بهره برداری کنند .
حملات غیر فنی : مهندسی اجتماعی
کارمندان ITتلاش دارند تا بر حملات فنی از جمله فایروال ها ، رمز گذاری ، امضای دیجیتالی و غیره که امنیت شبکه را به خطر می اندازند ، تمرکز داشته باشند . البته نقطه ضعف اکثر شبکه ها همان افرادی هستند که از آن استفاده می کنند . لازم بذکر است در مهندسی اجتماعی ، معمولاً افراد سودجو سعی می کنند تا با دوستی و جلب اعتماد طرف مقابل و در سایه کمک کردن به آن ها اطلاعات لازم را برای رسیدن به مقاصد خود به دست آورند .
مهندسی اجتماعی از دو دسته بندی عمده انسان محور و کامپیوتر محور، تشکیل شده است . مهندسی اجتماعی انسان محور مبتنی بر روش های سنتی ارتباطات است ( ارتباطات فردی یا از طریق تلفن )
می توان به وسیله مهندسی اجتماعی کامپیوتر محور ، از ترفندهای فنی گوناگون جهت تشویق افراد به ارائه اطلاعات محرمانه استفاده کرد . از دیدگاه میتنیک (2002 Mitnick and Simon) یکی از عوامل مهم در موفقیت جرائم مهندسی اجتماعی ، جلب اعتماد دیگران است . وی می گوید : "اولین کاری که باید برای جلب اعتماد دیگران انجام داد ، برقراری رابطه ای عاطفی با آنها ست . این یک ایده کلی است : جلب اعتماد دیگران و سپس بهره برداری و استثمار آنها ." (به نقل ازLemos 2002 )
از آنجا که میزان موفقیت این جرائم کاملا: به قربانیان وابسته است ، راهکارهای جلوگیری و مقابله با جرائم نیز طبیعتاً به خود آنها بستگی دارد . در سازمان ها برخی از پست ها و سمت ها حساسیت بیشتر و میزان آسیب پذیری بیشتری دارند .
برای مقابله با جرائم مهندسی اجتماعی باید از یک رویکرد چند جانبه استفاده کرد (Damle2002) :
 تعلیم و تربیت و آموزش : تمامی کارمندان ، بالاخص آن هایی که از سمت های حساسی برخوردارند ، باید تحت آموزش قرارگرفته و با خطرات احتمالی که مهندسی اجتماعی بر سر راه آنها قرار می دهد ، تکنیک هایی که هکرها از آنها استفاده می کنند و راه های مقابله و جلوگیری از این گونه جرائم آشنا شوند .
 سیاست ها و مراحل : برای ایمن سازی اطلاعات ، محرمانه نگه داشتن اطلاعات ، راهنمایی کارمندان و آگاه سازی آن ها نسبت به محرمانه بودن برخی از اطلاعات و انجام دادن اقدامات لازم برای پاسخ به برخی گزارش ها و غیره ، باید سیاست ها و تدابیر لازم اندیشیده شود .
 آزمون های هوشمند : سیاست ها ، مراحل و شیوه های پاسخ گویی افراد باید مرتباً وبر اساس برنامه ای منظم ، توسط کارشناسان خارج از سازمان مورد آزمایش قرار گیرد . از آنجا که این گونه بازپرسی ها معمولاً بر رفتار کارمندان تاثیر می گذارد ، بنابراین مسئولین موظفند تا پس از انجام تست های لازم ، هیچ نکته ابهامی برای کارمندان باقی نگذارند .
تجارت الکترونیکی یکی از بیشترین راه های نفوذ متجاوزین :
در عرض شش ماه اول سال 2004 ، تجارت الکترونیکی ، بیش تر از سایر بخش ها دچار حملات و سودجویی هایی مهاجمین سیستم های کامپیوتری شد ( تحقیقات این آمار را 16 درصد در سال 2004 نشان می دهد در حالی که در سال 2003 ، تنها 4 درصد بوده است ) . این نتایج نشان می دهد که اهداف سودجویان متوجه کسب در آمد از طریق دست یابی غیر قانونی به برخی از نواحی آسیب پذیر شده است .
افزایش حملات به فناوری برنامه نویسی وب :
بیشتر حملات صورت گرفته در تجارت الکترونیکی از طریق نفوذ و دست یابی به کد های برنامه نویسی وب بوده است . در نیمه اول سال 2004 ، 39 درصد نفوذ و سوء استفاده از آسیب پذیری ها در حوزه فناوری برنامه نویسی وب صورت گرفته است . سودجویان می توانستند از طریق انجام این حملات به اطلاعات محرمانه شرکتها و افراد در سرورها دسترسی یافته و به راحتی با رد کردن یک سری از اقدامات امنیتی پیش پا افتاده به سیستم کاربران نهایی دسترسی پیدا کنند .
ادامه دارد...

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت چهارم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت چهارم)

2-5 ) مدیریت و کنترل امنیت تجارت الکترونیکی
هرچند سطح آگاهی از امنیت الکترونیکی در چندین سال گذشته افزایش یافته است ، اما برخی از سازمانه همچنان در مدیریت این امنیت با مشکل و برخی اشتباهات روبرو هستند ( McConnell 2002) :
üجدی نگرفتن اهمیت برخی اطلاعات :برخی از سازمان ها از اهمیت اطلاعات و فایلهای خود بی خبرند .
üتعریف غیر مشخص از حد و مرزهای امنیتی : بسیاری از سازمانها تنها به ایمن سازی شبکه کامپیوتری داخلی خود پرداخته و فراموش می کنند که کارمندان بخشهای گوناگون باید اقدامات امنیتی را انجام دهند .
üواکنش پذیری در مدیریت امنیت : برخی از سازمانها به جای پیشگیری معمولاً زمانی به کنترل مسائل امنیتی می پردازند که مشکلی روی داده باشد ، در نتیجه مسئولین دراین نوع سازمانها معمولاً پس از رویداد یک حادثه در پی مدیریت مسائل امنیتی بر می آیند .
üعدم به روز رسانی اقدامات امنیتی : سازمانها به ندرت اقدامات امنیتی خود را طبق تغییرات پیش آمده به روز می کنند . آنها همچنین در بهنگام رسانی اطلاعات کارمندان خود در زمینه اقدامات امنیتی نیز ضعیف عمل می کنند .
üعدم ارتباطات لازم در زمینه مسئولیت های امنیتی : همواره با مساله امنیتی به عنوان یک مشکل IT و نه یک مشکل و مساله سازمانی برخورد می شود . با وجود چنین اشتباهاتی در سازمانها ، استفاده از یک رویکرد کلی و جامع جهت اقدامات امنیتی در وب سایتها ضروری به نظر می رسد . شرکتها باید مرتباً نواحی آسیب پذیر و خطرات احتمالی وب سایتهای خود را مورد بررسی قرار دهند . کارمندان و سایر کاربران نهایی نیز باید به یکسان بودن اهمیت اطلاعات و امنیت فیزیکی پی برده و عکس العمل مناسب از خود نشان دهند . مدیران ارشد و مسئولین اجرایی سازمانها در شناسایی اهمیت امنیت اطلاعات نقش داشته و باید در ایجاد سیاست گذاری های امنیتی و حمایت از قوانین وضع شده درون سازمان ، بسیار تلاش کنند . مسلماً ساختار مستحکم و امنیت برخی از سازمانها که در درون ، از امنیت محکم و جدی برخوردارند ، مسلماً حاصل تلاشهای امنیتی مدیران ارشد آنها و شناسایی خطرات احتمالی بوده است ( Kay 2003; Microsoft 2004 ).
مدیریت خطرات امنیتی
یک بانک اطلاعاتی CRM را در نظر بگیرید که شامل اطلاعات محرمانه حسابهای مشتریان یک شرکت است . این اطلاعات برای خود شرکت ، مشتریان و رقبای شرکت ، بسیار حائز اهمیت است . تصور کنید اگر این پایگاه دادها بنا به هر دلیلی از دسترس خارج شده ، خراب و یا غیر قابل استفاده گردد و یا به دست شخص ثالث بیفتد چه خسارتی را برای شرکت در برخواهد داشت .
خطرات احتمالی که این اطلاعات و پایگاه داده این شرکت را تهدید می کند هم به صورت فیزیکی (به عنوان مثال ، سیستمی که در آن بانک اطلاعاتی شرکت واقع شده ، از کار افتاده و خراب شود ) و هم در قالب غیر فیزیکی ( اطلاعات موجود در این پایگاه توسط یکی از کارمندان شرکت و یا یک هکر مورد سوء استفاده قرارگیرد ) است . برای محافظت از این اطلاعات باید اقداماتی صورت گیرد ، از جمله این اقدامات می توان به تهیه نسخه پشتیبان از اطلاعات در یک سیستم کامپیوتری دیگر ، محافظت از طریق قرار دادن رمز عبور روی پایگاه داده ، قرار دادن پایگاه داده در یک شبکه امن و استفاده از فایروال برای حفاظت از آن و غیره اشاره کرد . برای ایمن کردن اطلاعات و محافظت از این پایگاه داده ، هزینه اقداماتی که برای کاهش خطرات احتمالی صورت می گیرد مسلماً بیشتر و مهم تر از میزان هزینه ای خواهد بود که شرکت پس از روی دادن مشکل امنیتی متقبل می شود ، اقداماتی نظیر شناسایی اصول کامپیوترهای کلیدی ، شبکه و اطلاعات مهم یک شرکت ، ارزیابی و شناسایی خطرات احتمالی که این اطلاعات را تهدید می کند و کاهش خطرات احتمالی ، به عنوان مدیریت خطرات امنیتی شناخته شده است . ( مدیریت خطرات امنیتی Security Risk Management یک فرآیند اصولی در شناسایی حملات احتمالی ویروسی به سیستم ها و شناسایی راههایی برای جلوگیری و مقابله با این حملات است ) .
مراحل مدیریت خطرات امنیتی :
üشناسایی دارایی ها و اطلاعات مهم : در این مرحله سازمان به شناسایی کامپیوترهای کلیدی ، شبکه های مهم ، دارایی ها و بانکهای اطلاعاتی مهم خود پرداخته و آنها را ارزش گذاری می کند . در فرآیند ارزش گذاری، به هزینه بدست آوردن این اطلاعات ، محافظت و پشتیبانی ، هزینه جایگزین کردن این دارایی ها و به احتمال دسترسی اشخاص ثالث به این اطلاعات پرداخته می شود . پس از ارزش گذاری و شناسایی دارایی ها سازمان می تواند به ارزیابی خطرات امنیتی ، نواحی آسیب پذیر و سایر خطرات احتمالی که این دارایی ها را تهدید می کند بپردازد .
üارزیابی خطرات : زمانی که یک سازمان ، اطلاعات مهم و دارایی های شرکت را شناسایی و ارزش گذاری کرد حال باید خطرات احتمالی را که ممکن است این دارایی ها و بانک اطلاعاتی را تهدید کند ، ارزیابی کند . این مرحله شامل شناسایی خطرات ، نواحی آسیب پذیر و تهدید های احتمالی است . تهدیدهای احتمالی عبارتند از : حملات تروریستی ، بدکارکردن سیستم ها و یا نقص ساختار بندی سیستم های موجود در شبکه ، برخی از کارمندان ، مهاجمین ، افراد سودجو و هکرها. خطرات، شامل احتمال آسیب پذیریهایی است که توسط تهدیدهای مختلف و منافذ مالی بالقوه حاصل از این تهدیداها به وجود می آیند. یک راه برای شناسائی نواحی آسیب پذیر و شناخت تهدیدهای احتمالی، استفاده از دانش ITپرسنل درون شرکت و یا بهره گیری از مشاورین بیرونی ( مثل شرکت Granite Systems )برای انجام یکسری از ارزیابی های امنیتی در این زمینه است. یک راه دیگر استفاده از نرم افزارهایی است که میتوانند در شناسایی نواحی آسیب پذیر و انجام تستهای نفوذ کمک کرده و به شرکت یا سازمان امکان بررسی و مطالعه امن حملات صورت گرفته در سیستم را بدهد.
üاجرا و پیاده سازی : پس از شناسایی خطرات و تهدیدات احتمالی، باید آنها را بر اساس خسارات احتمالی که به وجود آورده اند، تقسیم بندی کرد. برای خطرات و تهدیدهایی که از احتمال وقوع بیشتری برخوردار هستند باید لیستی از اقدامت پیشگیری و مقابله با آنها را تهیه کرد، بعلاوه باید اقدامات لیست شده را از نظر هزینه و مقرون به صرفه بودن اجرای آن ( به عنوان مثال، یک شرکت 50,000 دلار صرف اقدامات امنیتی یک بانک اطلاعاتی که تنها 25,000 دلار ارزش دارد، نکند ) و همچنین از نظر اقدامت امنیتی مورد بررسی قرار داد. پس از انتخاب اقدامات امنیتی و اجرای آن، نه تنها سازمان موظف است بر روند کار نظارت داشته و بازده و مفید بودن اقدامت را مورد بررسی قرار دهد، بلکه باید مرتباً پایگاه دارایی خود، احتمال بروز خطرات جدید، آسیب پذیری و تهدیدهای تازه را نیز ارزیابی کند.
ادامه دارد...

 

[محمد پرنده]

کسی نظری در مورد این تاپیک ندارد؟

 

[محمد پرنده]

کسی نظری در مورد این تاپیک ندارد؟

نه چون همه دنباله یا سیاست اند یا مطالب علمی حتما قویتر و یا ببخشید باز هم ببخشید چرت و پرتهای سرگرم کننده بیخودی

 

[کربلایی]

نه چون همه دنباله یا سیاست اند یا مطالب علمی حتما قویتر و یا ببخشید باز هم ببخشید چرت و پرتهای سرگرم کننده بیخودی

کسی نظری در مورد این تاپیک ندارد؟

سلام
دوست عزیز ما پست شما رو میخونیم و استفاده میکنیم!
اینکه پست نمیدیم بخاطر اینه که تایپیک از مسیرش منحرف نشه...
امیدوارم این تایپیک رو کاملش کنید
موفق باشید

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت پنجم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت پنجم)


2-6 ) ایمن سازی ارتباطات تجارت الکترونیکی
بر طبق نتایج تحقیقات FBI,CSI,CERT همان طور که در بخش 1 نیز به آن پرداخته شد، اکثر سازمانها از چندین فناوری برای ایمن سازی سیستم های درون خود استفاده می کنند . می توان این فناوری ها را به دو گروه عمده تقسیم بندی کرد :
گروهی از فناوری هایی که به ایمن سازی ارتباطات در طول شبکه می پردازند و گروهی که برای حفاظت از سرورها و کلاینت های موجود در شبکه طراحی شده اند .

کنترل دستیابی و تایید اعتبار
یکی از ساده ترین جنبه های امنیت شبکه ، کنترل دستیابی و تایید اعتبار است . کنترل دستیابی ( Access Control) مشخص میکند که چه کسی در سیستم ، حق دستیابی و کنترل قانونی برخی از منابع را داشته و چگونه می تواند از آن استفاده کند . این منابع می توانند هر چیزی از صفحات وب ، فایلهای متنی ، پایگاه داده ها ، برنامه ، سرور ، چاپ گرها و یا سایر اجزای یک شبکه باشند .
به طور کلی لیست کنترل دستیابی ( CAL) ، به تعریف کاربران مجاز جهت دستیابی به منابع شبکه و میزان دستیابی مجاز آنها می پردازد . به طور پیش فرض یا یک کاربر حق دستیابی کامل به فایلهای شبکه را دارد و یا از این حق محروم است اما باید برای برخی از شبکه های خاص ، کاربرانی ویژه و میزان دستیابی مشخص را تعریف کرد . برای تامین این منظور باید گروه ها و یا نقش های گوناگونی ( به عنوان مثال : مدیر سیستم ، عامل های فروش ، بخش بازاریابی محصولات ، شرکای تجاری و غیره ) را تعریف کرده و مسئولیت آنها را نیز در هر گروه مشخص کرد . کاربران با شناسه ورود ( ID) مشخص شده و بدین ترتیب می توان اولین کاربری را که به سیستم دستیابی داشته را شناسایی کرد .
زمانی که کاربر شناسایی شد باید صلاحیت وی در سیستم نیز تایید گردد . همان طور که قبلاً نیز به آن اشاره شد تایید اعتبار به شناسایی صحت گفته کاربر و رمز عبوری وی می پردازد . فرآیند تایید اعتبار می تواند از طریق رمز عبور ( موردی که فرد از آن مطلع است ) ، اثر انگشت ( موردی که مخصوص خود فرد است ) و یا شناسه کاربر ( موردی که متعلق به فرد است ) صورت گیرد . رمز عبور از امنیت کافی برخوردار نیست زیرا افراد به راحتی می توانند آن را حدس زده و یا اینکه کاربران آن را در جایی که دسترسی به آن آسان است قرار دهند . برخی از افراد نیز به راحتی زمانی که از آنها رمز عبورشان پرسیده می شود آن را در اختیار دیگران قرار می دهند .
محکمترین شرایط امنیتی زمانی است که دو مورد از موارد ذکر شده با یکدیگر ادغام شوندکه به این شیوه تایید اعتبار دو عاملی (Two –Factor Authentication ) می گویند .
شناسه ( Token ) یا رمز معمولاً چیزی است که فرد آن را به همراه دارد . این شناسه ها از انواع و اندازه های گوناگون برخوردارند . شناسه های مجهول (Passive Tokens ) ، یکسری دستگاه های ذخیره سازی هستند که حاوی کدهای محرمانه می باشند . از عمده ترین این شناسه ها ، کارت های پلاستیکی هستند که یک نوار مغناطیسی ( حاوی کد های محرمانه ) روی آن قرار دارد . کار بر با کشیدن این کارت در جایگاه کارت خوان روی دستگاه و وارد کردن رمز عبور خود می تواند منابع مورد نظر دسترسی داشته باشد .
شناسه های فعال (Active Tokens ) ، معمولاً دستگاه های الکترونیکی مستقل (نظیر شناسه های زنجیره ی اصلی (Key Chain Tokens ) ، کارت های هوشمند ، ماشین حساب ها و قفل های سخت افزاری USB ) بوده که می توانند برای یک بار رمز عبور ایجاد کنند . در این حالت ، کاربر شماره PIN خود را وارد شناسه کرده و شناسه یک رمز عبور ایجاد می کند که تنها می توان از آن برای یک بار وارد شدن به سیستم استفاده کرد . شرکت های ActivCard ( activcarb.com ) و CRYPTOcard ( cryptocard.com) از جمله شرکت های تولید کننده این نوع دستگاه های تأیید اعتبار هستند .
سیستم های بیومتریک
سیستم های تأیید اعتبار دو عاملی هم چنین می توانند بر اساس خصوصیتی که یک فرد از آن برخوردار است ( مانند اثر انگشت ) کار کنند . اسکنر های اثر انگشت ، چشم ، سیستم های شناسای چهره و دستگاه های تشخیص صدا ، همگی نمونه ای از این نوع سیستم ها هستند . سیستم های بیومتریک می توانند فرد را از میان جمعیت کاربران ثبت شده در سیستم ، از طریق بانک اطلاعاتی خود و از روی ویژگی های بیولوژیکی فرد شناسای کنند . دستگاه های تأیید بیومتریک خیلی ساده تر از دستگاه های شناسایی ویژگی های بیومتریک هستند . در فرایند تأیید اعتبار دو عاملی نیز از شکل اول استفاده می شود .
امروزه پیشرفت استفاده از دستگاه های امنیتی بیومتریک بسیار کُند است . همان طور که تحقیقات CSI/FBI نشان می دهد تنها 11 درصد سازمان ها از این دستگاه ها در اقدامات امنیتی خود استفاده کرده اند . تحقیقات انجام شده توسط مؤسسه Internet Data Corporation نشان می دهد که 6/0 درصد از شرکت های آمریکای شمالی از دستگاه های بیومتریک جهت تأیید اعتبار در امنیت شبکه و اینترنت استفاده می کنند (Shen 2003 ) . هم چنین نتایج تحقیقات تنها 5 درصد استفاده از این محصولات را در بازار محصولات اقدامات امنیتی نشان می دهد .
استفاده از ابزارهای امنیتی بیومتریک در اینترنت ، هم زمان با کاهش قیمت این دستگاه ها و معرفی و افزایش جرائم الکترونیکی ، دزدی های اینترنتی و تعداد متجاوزین Online ، افزایش یافته است . در تحقیقاتی که توسط مؤسسه Hitachi Data System روی 840 نفر از مدیران IT شرکت ها در 21 کشور صورت گرفت ، 65 درصد شرکت کنندگان در این تحقیق ، اعلام داشتند که در آینده نزدیک از دستگاه های بیومتریک در اقدامات امنیتی شرکت خود استفاده خواهند کرد (Sherwood 2004 ) . به عنوان مثال ، بسیاری از مؤسسات مالی تمایل به استفاده از ترکیبی از کارت های هوشمند و دستگاه های بیومتریک در تأیید اعتبار مشتریان و عدم استفاده غیر قانونی در سیستم های بانکی Online در تبادلات و کسب وکار الکترونیکی خود دارند . برخی از فروشندگان الکترونیکی نیز تمایل به استفاده از دستگاه های بیومتریک جهت تأیید اعتبار کارت های اعتباری مشتریان در فرآیند خرید دارند . از این دستگاه ها هم چنین در برخی از مراکز امنیت ملی ، فرودگاه ها به جهت بررسی مسائل امنیتی ، بررسی گذرنامه ها و در برخی از خدمات اجتماعی پیشگیری از کلاهبرداری استفاده می شود .
از میان حالت های گوناگون دستگاه های بیومتریک ، از دستگاه شناسایی اثر انگشت بیشتر از سایر حالت ها استفاده می شود . البته همان طور که می دانید ، شناسایی اثر انگشت ، یکی از انواع گوناگون ویژگی های بیومتریک است که جهت تأیید اعتبار افراد از
آن استفاده می شود . به ویژگی های بیومتریک می توان از دو جنبه فیزیولوژیکی و رفتار نگاه کرد . بیومتریک فیزیولوژیکی ، آن دسته از اقداماتی است که در آن به طور مستقیم از بخش های گوناگون بدن استفاده می شود . اما در بیومتریک رفتاری حالت های گوناگون بدن یا برخی از اعضای بدن به طور غیر مستقیم ( نظیر اسکن صدا و یا وارد کردن رمز عبور در صفحه کلید مربوطه ) به کار گرفته می شوند .
در عمل از بیومتریک فیزیولوژیکی کمتر از بیومتریک رفتاری استفاده می شود . در بیومتریک فیزیولوژیکی ، اسکن اثر انگشت ، چشم ، دست و چهره بیشتر مورد استفاده قرار می گیرد .
برای پیاده سازی و اجرای یک سیستم بیومتریک رفتاری ، باید ویژگی های فیزیولوژیکی و رفتاری فرد را در شرایط متفاوت چندین بار اسکن کرده و مورد بررسی قرار داد . این اسکن ها با جمع آوری اطلاعات لازم ، امکان تشخیص را به دستگاه متمایز کننده کاربران می دهد . این اطلاعات در پایگاه داده سیستم ذخیره شده و می تواند از چند بایت ، برای شناسایی دست فرد و از هزاران بایت برای شناسایی ویژگی های چهره وی تشکیل شود . زمانی که فرد از یک دستگاه بیومتریک استفاده می کند عمل بررسی و اسکن به صورت زنده صورت می گیرد ، سپس اطلاعات جدید با اطلاعات ذخیره شده در پایگاه داده سیستم مورد بررسی قرار گرفته و در صورت هم خوانی این دو دسته از اطلاعات ، فرد به عنوان شخص مجاز شناخته شده و مورد تأیید قرار می گیرد . در زیر به مثالی از این تطبیق الگو اشاره شده است .
اسکن ( خواندن ) اثر انگشت : اثر انگشت از طریق انکسار ها و گسستگی های موجود در انتهای نوک انگشتان به دست می آید ( Kroeker 2002 ) . شیارهای انتهایی ، شیارهای کوچک و فاصله موجود میان این شیارها ، مثال های از این نوع گسستگی در کف دست و انگشتان است . در اسکن اثر انگشت ، از الگوریتمی خاص برای تبدیل گسستگی های اسکن شده و تطبیق آن با الگوی از پیش ذخیره شده ، استفاده می شود . درصد تشابه این نوع گسستگی ها در افراد یک در میلیارد است . امروزه می توان دستگاه های شناسایی اثر انگشت را که قابلیت نصب روی لپ تاپ ها و سیستم های خانگی را دارند، با قیمتی مناسب از فروشندگان محصولات امنیتی تهیه کرد.
اسکن عنبیه چشم : عنبیه بخش رنگی چشم است که اطراف مردمک قرار دارد. عنبیه چشم افراد از منافذ بسیار ریزی تشکیل شده است که می توان آن را با قرار دادن دوربینی در فاصله 3 تا 10 اینچی چشم فرد، در مکانی ثبت کرد. درعرض چند ثانیه می توان از الگوریتمی خاص جهت تبدیل عکس به یک سری کد استفاده کرد. حال می توان این کدها را برای ایجاد الگو در سیستم اسکن عنبیه چشم به کار برد. در فرآیند اسکن کردن چشم، عنبیه فرد توسط لنز دوربین مورد بررسی قرار گرفته، اطلاعات حاصل از آن با الگوی از پیش تعیین شده مورد مطابقت قرار می گیرد. در صورت تطابق این فرد مجاز شناخته شده و دارای صلاحیت است. احتمال اینکه دو فرد از یک عنبیه مشابه برخوردار باشند خیلی کمتر از احتمال وجود دو اثر انگشت مشابه است.
شناسایی صدا : تفاوت موجود در صدای افراد می تواند الگوهای آکوستیک متفاوتی را ایجاد کند که با تبدیل آن به کدهای ویژه در دستگاه تشخیص صدا از آن استفاده می گردد. در بسیاری از سیستم های تشخیص صدا، فرد در یک میکروفن صحبت کرده و یا از طریق تلفن به صحبت کردن می پردازد. صدای فرد در این سیستم، حکم شناسه (ID) یا رمز عبور را دارد. زمانی که کاربر تمایل به ورود به سیستمی را داشته باشد، خیلی ساده می تواند با تکرار کلمات از پیش گفته شده، شناسایی گشته و به سیستم راه یابد. زمان لازم برای تأیید و شناسایی صدای اسکن شده تنها 4 تا 6 ثانیه به طول می انجامد. بر خلاف سخت افزارهای مورد نیاز در دستگاه های شناسایی اثر انگشت و عنبیه چشم، این دستگاه قیمت ارزان تری داشته و دسترسی به آن نیز بیشتر است.
پایش ضربه وارد آمده بر صفحه کلید (Keystroke Monitoring ) : استفاده از این شیوه بیومتریک هم چنان در حال توسعه است . در این سیستم ، برخی بر این باورند که ضربه و میزان فشار آوردن افراد بر صفحه کلید متفاوت است ، بنابراین می توان آن را به عنوان یک ویژگی بیومتریک در نظر گرفته و از آن برای شناسایی و تآیید اعتبار افراد استفاده کرد . برای این کار ، میزان فشار ، سرعت و ریتمی که با آن یک کلمه تایپ می شود به کدهای ویژه تبدیل می شوند . معمولاً از شناسه کاربر ( ID ) و رمز عبور وی به عنوان واژه انتخابی جهت تایپ شدن استفاده می کنند . زمانی که کاربر بخواهد به یک سیستم دسترسی پیدا کند ، به راحتی می تواند با وارد کردن رمز عبور و یا شناسه کاربر خود به درون سیستم راه یابد . در این حالت ، سیستم به بررسی و تطبیق میزان فشار و سرعت کلمه تایپ شده با الگوی از پیش ذخیره شده می پردازد . تنها مشکل موجود در این زمینه این است که معمولاً میزان فشار و سرعت تایپ افراد و حتی یک فرد نیز در زمان های مختلف متغیر است.
کنسرسیوم بیومتریک : کنسرسیوم بیومتریک ( BC ) ، مرکزی برای انجام تحقیقات در زمینه دستگاه های بیومتریک و سایر سیستم ها و برنامه های مربوط به آن است . این کنسرسیوم از 800 عضو دولتی ، صنعتی و اعضای دانشگاهی تشکیل شده و به وسیله مؤسسه ملی استاندارد و فناوری ( NIST ) و آژانس امنیت ملی ( NSA ) حمایت می شود . وب سایت BC ( biometric.org ) از اطلاعات متعددی در زمینه فناوری های بیومتریک ، نتایج تحقیقات انجام شده ، برنامه های دولتی و فدرال و سایر موضوعات دیگر تشکیل شده است .

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت ششم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت ششم)

زیر ساخت کلید عمومی
جدید ترین فناوری های مربوط به دستگاه های تأیید اعتبار به زیر ساخت کلید عمومی ( PKI ( Public Key Infrastructure )) مرتبط و وابسته است . در این حالت ، موردی که فرد از آن اطلاع دارد ( مانند شناسه کاربر ID ) ، شناسه به حساب نیامده ، بلکه یک گواهی معتبر ( Certificate ) است . امروزه PKI تبدیل به هسته ای مطمئن برای پرداخت های الکترونیکی شده است و به اجزای فنی ، زیر ساخت ها، قوانینی که برای استفاده از رمز گذاری کلید عمومی ، امضای دیجیتالی و گواهی معتبر دیجیتالی به همراه برخی از برنامه های مهم شبکه لازم است ، اشاره دارد . PKI هم چنین به عنوان زیر ساخت بسیاری از کاربردهای شبکه شاملSCM, VPN , Emailهای امن و برنامه های اینترانت به حساب می آید.
رمز گذاری کلید عمومی و خصوصی
رمز گذاری در قلب PKI وجود دارد . منظور از رمز گذاری ( Encryption ) ، تبدیل اطلاعات به زبانی مشکل ، غیر قابل درک و زمان گیر است تا برای افراد غیر مجاز رمز گشایی از آن متن غیرممکن باشد . تمامی رمز گذاری ها از چهار مرحله اصلی ( همان طور که در جدول زیر نیز مشاهده می شود ) تشکیل شده اند : متن ساده و عادی ( Plaintext ) ، متنی با علائم رمزی ( Ciphertext ) ، الگوریتم رمز گذاری ( Encryption algorithm ) و کلید ( Key ) . در مقایسه ای که در جدول زیر صورت گرفته است اصول یکی از الگوریتم ها ی رمز گذاری به نام Vigene`re cipher به خوبی نشان داده شده است . مسلماً استفاده از کلیدها و الگوریتم های ساده در دنیای شبکه ، بلا استفاده و غیر مفید خواهد بود و به کلیدها و الگوریتم های پیچیده تری احتیاج داریم .


اجزای رمز گذاری

جزء


توصیف


مثال


متن ساده


پیام در قالب زبانی که برای هر فرد قابل درک باشد .


مانند شماره موجود در کارت های اعتباری:


9982 3652 8765 5342


الگوریتم رمز گذاری


فرمول های ریاضی یا فرآیندی که برای رمز گذاری یا رمز گشای پیام ها استفاده می شود.​

افزودن یک شماره ( کلید ) به هر شماره موجود در کارت . اگر شماره از عدد 9 بیشتر بود ، عدد 10 را از آن کسر کنید . به عنوان مثال ، به هر عدد روی کارت عدد 4 را بیفزایید . در این صورت عدد 1 تبدیل به 5 و عدد 9 تبدیل به 3 خواهد شد .

کلید ( کدهای مخفی )


استفاده از شماره هایی خاص که با عبور از الگوریتم تبدیل به پیام های رمز گذاری شده ، می گردد .


افزودن شماره به شماره اصلی ( مانند افزودن شماره 4 در قسمت بالا ) .


متن هایی با علائم رمز دار


ciphertext


این همان متن ساده و قابل خواندن است که پس از رمز گذاری تبدیل به متنی با علائم ، شماره و رمزهای خاص شده است .


شماره اصلی کارت 9982 3652 8765 5342 تبدیل به 3326 7096 2109 9786 خواهد شد .​

ادمه دارد ...

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت هفتم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت هفتم)

سیستم کلید متقارن ( خصوصی ( Symmetric ( Private ) Key System ) )
در سیستم کلید متقارن ، از یک کلید ( کد مخفی ) برای رمز گذاری و یا رمز گشایی متن ساده استفاده می شود . دریافت کننده و فرستنده جهت دستیابی به متن اصلی باید کدهای مخفی ( کلید ) مشابهی داشته باشند . به همین دلیل به این سیستم ، سیستم خصوصی نیز گفته می شود .
در طی سال های گذشته ، Data Encryption Standard ( DES ) ( itl.nist.gov/fipspubs/fip46-2.htm ) ، به عنوان یک الگوریتم رمز گذاری متقارن استاندارد توسط مؤسسه های دولتی امریکا مورد حمایت قرار می گرفت . در دوم اکتبر سال 2000 ، مؤسسه ملی استاندارد و فناوری (NIST ) اعلام داشت که DES ، با Rijndael که یک استاندارد رمز گذاری پشرفته است ( csrc.nist.gov/encryption/aes ) ، جایگزین شده و از آن برای ایمن سازی ارتباطات دولتی ایالات متحده استفاده می شود .
از آنجا که الگوریتم های استفاده شده در رمز گذاری پیام ها ، شناخته شده هستند ، محرمانه بودن پیام ها به کلید ( کدهای مخفی ) بستگی دارد . حدس زدن نوع کلید و یا کدهای مخفی استفاده شده در رمز گذاری و یا رمز گشایی پیام ها ، کاری آسان بوده و می توان از طریق کامپیوتر آن را شناخت . پردازش های موازی وکامپیوترهایی با سرعت پردازش بالا ، می توانند در عرض چند ثانیه برای یافتن کدهای مخفی میلیون ها حدس بزنند . به همین دلیل نیزطول کلید ها ( تعداد بیت آن ها ) در رمز گشایی یک پیام و ایمن سازی آن بسیار مهم است ، زیرا اگر یک کلید تنها چهار بیت ( به عنوان مثال 1011 ) تشکیل شده باشد ، احتمال ترکیب این کدها تنها 16 مورد است ( دو به توان چهار ) . در این صورت ، یک فرد برای یافتن کلید یا کد مخفی نیاز به استفاده از کامپیوتر نداشت . اکنون زمانی را تصور کنید که یک فرد قرار است تمامی احتمالات موجود برای یافتن کلید را در نظر گیرد . بنا به تحقیقات انجام شده توسط Howard ( 2000 ) وی بر این باور است که می توان حتی قفل کلید های 40 بیتی را که از بیش از یک تریلیون احتمال ترکیب کد برخوردار است ، در عرض 8 روز ( در این حالت فرد باید از دستگاه کامپیوتری که امکان بررسی 6/1 میلیون کد در هر ثانیه را دارد ، استفاده کند ) یا ظرف 109 ثانیه ( با استفاده از کامپیوتری که قابلیت بررسی 10 میلیون کد را در ثانیه داشته باشد ) شکست . اما در مقابل ، کلیدهایی که از 64 بیت کد تشکیل شده باشند ، در عرض 5 / 58 سال ( در صورتی که از کامپیوتری با قابلیت بررسی 10 میلیون کد در ثانیه استفاده شود ) شکسته خواهند شد ( Howard 2000 ).

کلید های رمز گذاری عمومی ( نامتقارن )
تصور کنید فردی بخواهد برای خرید یک کالا در وب سروری خاص ، از رمز گذاری تک کلیدی (One-Key Encryption ) استفاده کند . اگر کلید فروشنده میان چندین هزار خریدار پخش شود ، دیگر کدهای مخفی این کلید به صورت محرمانه و پنهان باقی نخواهند ماند . در اینجا کلیدهای عمومی ( نامتقارن ) نقش خود را ایفا می کنند . کلیدهای رمز گذاری عمومی از یک جفت کلید تطبیقی عمومی ، کلیدهایی که معمولاً در دسترس عموم قرار دارند و کلید خصوصی که تنها در دست یک نفر و آن هم فرد مالک است ، استفاده می کنند . اگر پیامی توسط یک کلید عمومی رمزگذاری شده باشد، برای رمزگشایی آن حتماً نیاز به یک کلید خصوصی است.
به عنوان مثال ، اگر فردی تمایل به سفارش یک کالا از شرکتی داشته باشد و هم چنین بخواهد که محتوای پیام فرستاده شده وی به شرکت محرمانه باقی بماند ، برای رمز گذاری پیام خود باید از کلید عمومی شرکت استفاده کند . زمانی که شرکت سفارش مشتری را دریافت کرد ، از کلید خصوصی خود برای رمز گشایی پیام استفاده خواهد کرد .
یکی از رایج ترین الگوریتم های کلید رمز گذاری عمومی RSA ( rsa.com ) است . RSA از کلید هایی با طول کد های متفاوت از 512 تا 1024 بیت استفاده می کند . تنها مشکلی که کلیدهای رمز گذاری عمومی با آن مواجه هستند ، مسأله سرعت است . الگوریتم های متقارن معمولاً نسبت به الگوریتم کلیدهای نامتقارن از سرعت بیشتری برخوردارند . بنابراین ، از کلیدهای رمز گذاری عمومی نمی توان برای رمز گذاری و یا رمز گشایی داده هایی که حجم زیادی دارند ، به طور مؤثر استفاده کرد . در واقع ، برای فرآیند رمزگذاری و رمزگشایی ، معمولاً از ترکیب کلید های متقارن و نامتقارن استفاده می شود .

امضای دیجیتالی ( Digital Signature )
در دنیای مجازی و Online ، چطور می توان اطمینان حاصل کرد که پیام ارسال شده ، از طرف فرد مورد نظر ، فرستاده شده است . هم چنین چطور می توان اطمینان حاصل کرد که آن فرد پیام ارسالی خود را تکذیب نکرده و ارسال پیام خود را تأیید خواهد کرد ؟
یک راه حل استفاده از امضای دیجیتالی است که مختص خود فرد است و قابل جعل کردن نیز نیست . امضاهای دیجیتالی به کلیدهای عمومی وابسته هستند و می توان از آن ها برای تأیید اعتبار فرد فرستنده پیام و یا Email استفاده کرد . هم چنین می توان از امضای دیجیتالی برای تضمین این موضوع که محتوای پیام الکترونیکی بدون تغییر فرستاده شده است نیز استفاده کرد . امضای دیجیتالی از مزیت ویژه ای در محیط های مجازی و Online برخوردار است . این امضاها قابل حمل بوده و نمی توان آن ها را به سادگی جعل کرد و حتی می توان زمان استفاده از امضا را نیز مشخص کرد .
تصور کنید فردی قصد فرستادن پیش نویس قرار دادی را به یک شرکت ( که قرار است با آن وارد کسب و کار شود ) داشته باشد . در این راستا فرد دریافت کننده قرار داد می خواهد از تضمین کافی جهت صحت متن قرار داد و فرستنده آن اطمینان حاصل کند . برای این کار فرد فرستنده به انجام اقدامات زیر می پردازد:

1-فرد فرستنده Email ای را با محتوای متن قرارداد ایجاد می کند .
2-از نرم افزار و یکسری محاسبات ریاضی به نام تابع hashدر پیام استفاده می کند که به وسیله آن محتوا را خلاصه کرده و آن را به زنجیر ه ای از ارقام ( که به آن پیام خلاصه شده ( Message Digest ) می گویند ) تبدیل می کند .
3-فرد فرستنده از کلید خصوصی خود برای رمز گذاری پیام خلاصه شده استفاده می کند . به این پیام رمز گذاری شده امضای دیجیتالی می گویند . از آنجا که این پیام به وسیله کلید خصوصی فرستنده رمز گذاری شده است ، در نتیجه فرد دیگری نمی تواند
آن را تغییر داده و یا جعل کند .
4-فرد فرستنده متن اصلی ، امضای دیجیتالی خود را با استفاده از کلید عمومی رمز گذاری می کند . به این متن کلی رمز گذاری شده ، پاکت دیجیتالی ( Digital Envelope ) گفته می شود .
5-فرستنده فایل پاکت دیجیتالی را به دریافت کننده ارسال می کند .
6-به محض دریافت این فایل ، فرد دریافت کننده از کلید خصوصی خود برای رمز گشایی محتوای پاکت دیجیتالی استفاده می کند . این عمل موجب ایجاد نسخه ای از پیام و امضای دیجیتالی فرستنده می شود .
7-فرد دریافت کننده از کلید عمومی فرستنده برای رمز گشایی امضای دیجیتالی استفاده کرده که منجر به ایجاد نسخه ای از پیام خلاصه شده اصلی می شود .
8-فرستنده از محاسبات ریاضی ویژه که در مرحله دو آن را به کار برده است ، استفاده می کند . سپس گیرنده یک پیام خلاصه شده از پیام رمز گشایی شده ( همان طور که در شکل 5 – 7 نیز مشاهده می شود ) ایجاد می کند .
9-فرد دریافت کننده به بررسی و مقایسه پیام خلاصه شده با پیام خلاصه اصلی می پردازد .
10-اگر این دو پیام خلاصه شده با یکدیگر تطبیق داشته باشند ، فرد دریافت کننده از صحت این پیام اطمینان حاصل می کند .
در این شرایط ، شرکت بر فرستاده شدن Email حاوی قرار داد توسط فرد فرستنده اطمینان حاصل می کند ، زیرا تنها فردی که به کلید خصوصی رمز گذاری دستیابی داشته است ، خود فرستنده است . از طرف دیگر ، فرد دریافت کننده Email نیز به صحت و سلامت آن یقین پیدا می کند ، زیرا در غیر این صورت دو پیام رمز گذاری شده با یکدیگر هم خوانی نخواهند داشت .
بنا به قانون تجارت ملی و جهانی در امضای الکترونیکی فدرال ایالات متحده که در اکتبر 2000 به تصویب رسید ، امضای دیجیتالی نیز به اندازه امضای جوهری فرد که روی کاغذ کشیده می شود ، دارای اعتبار است . هر چند PKI مؤسس و سازنده امضای دیجتالی است ، اما معمولاً برای تأیید هویت رسمی افراد از تأیید اعتبار دو عاملی ( Two-Factor Authentication ) استفاده می شود . به عنوان مثال ، می توان از PKIدر کارت های هوشمند و یا سیستم های بیومتریک جهت شناسایی و تأیید اعتبار افراد استفاده کرد .
لایه سوکت ایمنی
اگر کاربر با دانش متوسط ، از چگونگی استفاده از رمز گذاری ها ، گواهینامه های معتبر دیجیتالی ، امضاهای دیجیتالی و مواردی نظیر آن آگاه باشد ، آنگاه دیگر تبادلات ایمن کمتری در وب انجام خواهد پذیرفت .خوشبختانه مرورگرهای وب و وب سرور ها به خوبی به این تبادلات نظارت دارند . با فرض این که بسیاری از مؤسسه ها و نهادهای دولتی و مؤسسات مالی در کشور های گوناگون به تجارت الکترونیکی می پردازند ، باید یک سری پروتکل های امن جهت ایمن سازی تبادلات الکترونیکی صورت گرفته ، وجود داشته باشد . یکی از پروتکل های رایج که در این زمینه استفاده می شود ،پروتکل لایه سوکت ایمن یا SSL ( Secure Socket Layer ) بوده که به نام TLS ( Transport Layer Security ) نیز شناخته می شود .
SSL توسط Netscape برای نخستین بار جهت استفاده از گواهی های معتبر و استاندارد برای تأیید اعتبار و رمز گذاری داده ها برای تضمین محرمانه بودن اطلاعات ، به بازار عرضه شد . مرورگر ها و وب سرورهای شرکت مایکروسافت و Netscape از SSL ، به عنوان یک استاندارد بالفعل استفاده می کردند . در سال 1996 ، SSL به TLS تغییر نام داد ولی اکثر افراد امروزه از همان نام SSL استفاده می کنند که یکی از مطمئن ترین پروتکل ها در پرداخت های کارت اعتباری خرید Online به حساب می آید .
SSL رمز گذاری شماره کارت اعتباری و سایر انتقالات میان وب سرور و مرورگر وب را امکان پذیر می سازد . تبادلات وجوه کارت های اعتباری ، در بخش خرید Online و کسب و کارهای صورت گرفته از وب سایت ها ، بیشتر از انتقال شماره کارت اعتبار رمز گذاری شده توسط فروشندگان است . اعتبار و صحت شماره کارت باید مورد بررسی قرار گیرد ، بانک مشتری باید صلاحیت کارت را تأیید کند و تمامی مراحل خرید نیز باید مورد بررسی و نظارت قرار گیرد . SSL تنها برای فرآیند انتقال شماره کارت های طراحی شده است .
ادامه دارد...

 

[مریم بنایی]

سلام آقای مهندس .
من که از این شماره شش بدم نیومد البته به طور اتفاقی این تاپیک را باز کردم.

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت هشتم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت هشتم)

2-7 ) ایمن سازی شبکه های تجارت الکترونیکی
فناوری های متعددی وجود دارد که می توانند حد و مرز سازمان ها و امنیت آن ها را در برابر ورود مهاجمین شبکه و افراد سودجو حفظ کنند . حتی به وسیله برخی از این فناوری ها می توان نواحی مورد حمله قرار گرفته سیستم ها را نیز در درون یک سازمان ، شناسایی کرد . انتخاب و اجرای این فناوری ها به برخی از مفاهیمی که در زیر به آن اشاره شده است ، بستگی دارد ( Thomas 2004 ) :
üامنیت لایه ای ( Layered Security ) :به کار گیری یک فناوری به تنهایی جهت شناسایی و از بین بردن حملات به سیستم های کامپیوتری معمولاً با عدم موفقیت رو به رو می شود . در یک شبکه باید از چندین فناوری به طور هم زمان استفاده کرد . این مسأله می تواند در طراحی امنیت شبکه از اهمیت زیادی برخوردار باشد .
üدستیابی کنترل : دستیابی به شبکه باید بر اساس سیاست اعطای حداقل امتیاز خصوصی ( POLP ( Policy of Least Privilege ) ) باشد . به طور پیش فرض ، دستیابی به شبکه باید بلوکه شده باشد و تنها در صورت انجام کسب و کار ، دستیابی به آن توسط افرادی خاص مجاز شناخته شود .
üامنیت در قسمتی خاص : همان طور که در بخش 2-5 نیز به آن اشاره شد ، دستیابی به منابع خاص شبکه باید بر اساس مسئولیت نقش کاربران در درون سازمان باشد .
üنظارت : بسیاری از سازمان ها ابتدا یکسری از قوانین را اجرا کرده اما به تدریج آن ها را فراموش می کنند . به عبارت دیگر سازمان ها در برنامه ریزی ها و سیاست گذاری های استفاده از فناوری های امنیتی بسیار موفق هستند اما در بخش نظارت بر عملکرد شبکه جهت اطمینان از ایمن بودن آنها ، ضعیف عمل می کنند .
üمرمت کردن سیستم : بسیاری از سازمان های بزرگ می دانند که شرکت های فروشنده ( نظیر مایکروسافت ) روزانه به مرمت و بهنگام رسانی نرم افزار ها ، سیستم ها و برنامه های خود برای تأمین امنیت در محیط های الکترونیکی و مجازی می پردازند . یک راه برای استفاده از این امکانات بهنگام رسانی برنامه های نصب شده روی سیستم های کامپیوتری است . برخی از سیستم عامل های جدید مانند Windows XP از برنامه یادآور بهنگام رسانی برنامه های امنیتی روی سیستم برخوردار هستند . این امکانات می تواند روند بهنگام رسانی برنامه ها را برای سازمان ها آسان تر سازد .
üگروه پاسخ گویی : بدون توجه به وسعت یک سازمان ، در صورتی که سازمان به شبکه اینترنت متصل باشد ، مسلماً انتخاب مناسبی برای سودجویان جهت بهره برداری از منابع آن خواهد بود . به همین دلیل ، سازمان ها باید گروهی پاسخگو برای مقابله با این گونه حملات و سود جویی ها داشته باشند . این گروه باید پیش از بروز بحران به برنامه ریزی ، پردازش و شناساییی منابع آسیب پذیر بپردازد
فایروال ها
اصطلاح فایروال یا دیوارهای آتشین از سال 1700 تا به حال رایج است . در قرن هجدهم از این شیوه برای پیشگیری از جریان آتش سوزی و متوقف کردن آن در جنگل ها استفاده می شده است ( Garfinkel 2002 ) . از این اصطلاح هم چنین برای دیوار حائل میان موتور ماشین و سایر اجزای داخلی آن نیز استفاده می شود . در دنیای محاسبات شبکه ای ، منظور از فایروال ، یک گره شبکه است که شامل سخت افزار ها و نرم افزار ها بوده و جهت ایزوله کردن شبکه خصوصی از یک شبکه عمومی به کار گرفته می شود .
برخی از فایروال ها داده ها و انتقال درخواست ها را از شبکه عمومی اینترنت به شبکه خصوصی ، بسته به آدرس های شبکه کامپیوتری که این درخواست ها را فرستاده و یا دریافت می دارد ، ***** می کنند . به این نوع فایروال ها مسیر یاب های ***** کننده بسته های کوچک ( Packet-Filtering Routers ) می گویند . در اینترنت ، داده ها و درخواست های فرستاده شده از یک کامپیوتر به کامپیوتر دیگر ، به بخش های کوچک تری به نام بسته های کوچک ( Packet ) تبدیل می شوند . هر بسته ، شامل آدرس اینترنتی کامپیوتر فرستنده داده و هم چنین آدرس اینترنتی کامپیوتری است که داده را دریافت می کند . این بسته ها هم چنین دارای یکسری اطلاعات تمیز دهنده هستند که می توانند یک بسته را از بسته دیگر متمایز کنند . ***** مخصوص بسته ها ( Packet Filters ) ، قوانینی است که می تواند بسته های ورودی را بر اساس آدرس منبع و مقصد شان و سایر اطلاعات تمیز دهنده رد کرده و یا بپذیرد . در زیر به برخی از این *****های ساده اشاره شده است :
üبلوکه کردن تمامی بسته هایی که از یک آدرس مشخص اینترنتی دریافت می شوند . بعضی از شرکت ها از این دسته *****ها برای بلوکه کردن درخواست های دریافتی از سیستم های شرکت رقبای خود استفاده می کنند .
üبلوکه کردن هر بسته ورودی که از یکی از آدرس های کامپیوتری شبکه درونی فرستاده می شود . شرکت ها از این قوانین برای بلوکه کردن درخواست های افراد سودجو یا مزاحم ( که قصد استفاده از یکی از سیستم های درون سازمانی را دارند ) استفاده می کنند .
البته قابل ذکر است که *****های بسته دارای معایب ومحدودیت خاص خود هستند . در تنظیم این قوانین ، مسئول اجرایی ممکن است برخی از قوانین مهم را فراموش کرده و در نتیجه نقطه ضعف هایی را در برنامه به وجود آورد . به علاوه ، از آنجا که محتوای بسته با ***** بسته همخوانی ندارد ، زمانی که بسته از فایروال رد شد ، ممکن است در داخل شبکه از حملات داده ای قرار گیرد . این بدان معناست که داده ، ممکن است شامل تعدادی دستورالعمل مخفی بوده و موجب شود که کامپیوتر گیرنده دست به اصلاح کنترل دستیابی یا فایل های امنیتی مربوطه بزند .
معمولاً از مسیریاب های *****کننده بسته ها در اولین لایه محافظت از شبکه استفاده می شود . دومین لایه محافظتی را سایر فایروال ها تشکیل می دهند . فایروال ها تشکیل می دهند . فایروال های لایه دوم داده ها و در خواست ها را بر اساس نوع برنامه ای که قرار است به آن دسترسی یابند ، بلوکه می کنند . به عنوان مثال ، یک فایروال ممکن است ورود یکسری از درخواست ها از شبکه عمومی اینترنت به یک شبکه خصوصی را مجاز بشمارد . به این نوع فایروال ها ، پروکسی سطح برنامه ( Application-Level Proxy ) می گویند . در این نوع پروکسی ها معمولاًیک نوع سرور خاص به نام Bastion Gateway وجو دارد که این سرور ها از دو نوع کارت شبکه تشکیل شده اند ، بدین معنا که اگر یکسری بسته به کارت اولی برسند ممکن است از آن رد نشده و در نتیجه به کارت شبکه دوم نیز دسترسی نیابند . تعدادی از نرم افزارهای ویژه به نام پروکسی روی این سرور ها نصب شده است که اجازه ورود و گذر بسته ها را از یک شبکه به شبکه دیگر می دهند . هر سرویس اینتر نتی که یک سازمان از آن پشتیبانی می کند از برنامه های پروکسی استفاده می کند . پروکسی انواع گوناگونی دارد ، مانند : پروکسی وب ( HTTP ) ، پروکسی انتقال فایل ( FTP ) وغیره . از برخی از پروکسی های خاص نیز می توان در تبادلات و کسب و کار الکترونیکی بهره جست . به عنوان مثال برای دستیابی به یکسری از برنامه های خاص اجرا شده در یک فایروال می توان از این نوع پروکسی ها استفاده کرد . اگر فردی در خواست یک سرویس پروکسی حمایت نشده را داشته باشد ، این درخواست به وسیله فایروال به طور خودکار بلوکه خواهد شد .
علاوه برکنترل ترافیک درونی ، فایروال ها و پروکسی می توانند به کنترل ترافیک برون رو نیز بپردازند . تمامی درخواست های ترافیک برون رو ابتدا به سرور پروکسی رفته و از آنجا به کامپیوتر هایی که در پشت فایروال قرار دارند ، فرستاده می شوند . در این حالت به نظر می رسد که تمامی درخواست ها از یک کامپیوتر فرستاده شده اند . در این شرایط ، آدرس های اینترنتی کامپیوتر های داخلی برای افراد بیرونی به صورت مخفی و پنهان است .
یکی از معایب فایروال های پروکسی سطح برنامه ، تخریبی است که در سطح عملکردی آن روی می دهد . معمولاً این نوع فایروال ها به زمان پردازش بیشتری برای مرتب ساختن بسته های خاص به برنامه های خاص نیاز دارند . یکی دیگر از معایب این فایروال ها این است که کاربران شبکه داخلی برای فرستادن درخواست اینترنتی خود از طریق سرور پروکسی باید سیستم یا مرورگر خود را پیکر بندی کنند .
سیستم های فایروال ، می توانند از صفر ایجاد شوند . اکثر شرکت ها به سیستم های فایروال تجاری اعتماد دارند . مؤسسه ConsumerSearch.com ، تعریفی کلی از محصولات فایروال های تجاری ارائه داده است ( (consumersearch.com/www/index.html .

ادامه دارد...

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت نهم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت نهم)

ناحیه غیر نظامی
از اصطلاح ناحیه غیر نظامی ( Demilitarized Zone ( DMZ ) ) ، معمولاً برای توصیف ناحیه میانگیر ( Buffer Area ) میان دو دشمن ، ( مانند DMZ میان کره شمالی و کره جنوبی ) استفاده می شود . اما این اصطلاح در امنیت شبکه معنای ناحیه ای از شبکه است که میان شبکه داخلی یک سازمان و شبکه خارجی آن ( اینترنت ) قرار گرفته و موجب جدایی و ایزوله شدن فیزیکی این دو شبکه که تحت کنترل قوانین فایروال قراردارند ، می شود . به عنوان مثال شرکتی را در ضر بگیرید که تمایل به اجرای وب سایت خود دارد . در تنظیمات DMZ ، این شرکت باید وب سرور خود را در قسمت دستیابی عمومی و سایر سرور های خود را در یک شبکه داخلی خصوصی قرار دهد . سپس یک فایروال برای هدایت درخواست های ورودی از بیرون به شبکه مرتبط و سرور ها ، پیکربندی می شود . در بسیاری از شرایط ، شبکه داخلی نیز توسط یک فایروال ثانوی جهت تضمین بیشتر برای عدم ورود درخواست های فرد مهاجم به شبکه داخلی ، مورد محافظت قرار می گیرد .
فایروال های شخصی
در سال های اخیر، دستیابی افراد و بنگاه های کوچک به اینترنت های پر سرعت ( نظیر کابل مودم یا خطوط دیجیتالی DSL ) افزایش یافته است. این سیستم های همیشه فعال در معرض آسیب پذیری بیشتری نسبت به سیستم های dial-up قرار دارند . در این نوع ارتباطات پر سرعت ، فردی که در خانه از اینترنت استفاده می کند و یا شرکت های تجاری که به این سیستم پر سرعت دسترسی دارند ، موجب به خطر افتادن بسیاری از فایل های اطلاعاتی محرمانه ( نظیر فایل های شخصی یا اطلاعات مالی شرکت ) می گردند و در نتیجه احتمال حمله DoS به این سیستم ها بیشتر می شود.
فایروال های شخصی به منظور حفاظت از سیستم های دسک تاپ از طریق نظارت بر ترافیک انتقال داده و از طریق کارت رابط شبکه ، طراحی شده اند. این فایروال ها به دو طریق کار می کنند. در شیوه اول ، فرد مالک می تواند به خلق قوانین *****گذاری پرداخته تا یک سری از بسته ها در حین انتقال حذف شده و یا انتقال نیابند. در شیوه دوم ، فایروال از فرد کاربر سؤالاتی را در زمینه محدوده کنترل بسته ها می پرسد. در بازار تعداد زیادی از این نوع فایروال های شخصی وجود دارد . از جمله این فایروال ها می توان فایروال شخصی Norton شرکت Symantec ( Symantec.com ) و Zone Alarm شرکت Check Point ( checkpoint.com ) را نام برد . برای کسب جزئیات بیشتر در زمینه این محصولات ، می توانند به سایت firewallguide.com/software.htm مراجعه کنید .

VPNها
تصور کنید شرکتی تمایل به ایجاد یک برنامه B2B داشته باشد که در آن مشتریان ، شرکا و سایر افراد بتوانند نه تنها بر داده های موجود در سایت وی دسترسی یابند بلکه بتوانند به سایر داده هایی که در فایل Word و یا در سیستم های موروثی (مثلاً ، پایگاه های داده رابطه ای بزرگ ) قرار دارد نیز دسترسی پیدا کنند.
به طور معمول ، ارتباط با یک شرکت از طریق خطوط استیجاری و یا خط dial-up به بانک مودم ها یا سرور دستیابی از راه دور (RAS) که می تواند ارتباطی مستقیم با شبکه LAN شرکت برقرار سازد، صورت می گیرد. در خطوط خصوصی ، امکان استراق سمع اشخاص ثالث در شبکه ، به صفر می رسد. اما مسلماً هزینه این خطوط سنگین است .
یکی از جایگزین های خطوط خصوصی که از قیمت نسبتاً پایین تری بر خوردار است VPN ( Virtual Private Network ) یا شبکه خصوصی مجازی است . یک شبکه VPN ، از شبکه عمومی اینترنت برای انتقال اطلاعات استفاده می کند ، اما با استفاده از ترکیبی از شیوه های رمز گذاری برای در هم کردن ارتباطات ، تأیید اعتبار برای تضمین صحت و سلامت اطلاعات و کنترل دستیابی برای تأیید هویت کاربرانی که از شبکه استفاده می کنند ، به محرمانه باقی ماندن اطلاعات کمک می کند ، به علاوه ، از VPN می توان در ارتباط میان سایتی ( ite-to-Site Communications ) میان شعبات یک شرکت و رؤسای آن و ارتباطات مکیان کاربران تلفن همراه با محل کار خود نیز استفاده کرد .
VPN ، می توان به طور قابل توجهی از هزینه مکالمات و ارتباطات بکاهد . علت این کاهش هزینه این است که تجهیزات VPN ارزان تر از سایر تجهیزات کنترل از راه دور است ، خطوط استیجاری خصوصی ، دیگر برای حمایت از دستیابی راه دور مورد استفاده قرار نمی گیرند و کاربران راه دور می توانند از خطوط کابلی یاDSL به جای استفاده از تماس های راه دور یا تماس های بین المللی برای دستیابی به شبکه خصوصی یک سازمان استفاده کنند یعنی می توان تنها از یک خط دستیابی در پشتیبانی اهداف چند منظوره ارتباطات استفاده کرد . میزان صرفه جویی از این طریق در ارتباطات شبکه های میان سایتی حدود 20 تا 40 درصد در درون کشور 60 تا 90 درصد در صورتی که کاربران در خارج از کشور باشند ، تخمین زده شده است ( NetGear 2002 ) . همین آمار برای کاربران تلفن همراه از راه دور بین 60 تا 80 درصد برآورد شده است ( Prometheum Technologies 2003 ) .
چالش فنی اصلی شبکه VPN ، تضمین محرمانه بودن و یکپارچگی ارسال داده ها از طریق اینترنت است .اینجاست که پروتکل Tunneling نقش خود را ایفا می کند .در پروتکل Tunneling ، بسته های داده ابتدا رمزگذاری شده و سپس در بسته هایی که بتوانند از طریق اینترنت انتقال یابند ، قرار می گیرند . این بسته ها در آدرس مقصد به وسیله یک میزبان یا مسیریاب خاص رمزگشایی خواهند شد .
برای ایجاد VPN از سه فناوری می توان استفاده کرد . 1) استفاده از بسته های فایروال (سخت افزار و نرم افزار ) جهت فراهم آوردن عملکرد VPN . 2) مسیریاب ها ( اجزای یک شبکه خاص برای کنترل ارتباطات ) نمی توانند مانند یک فایروال به خوبی کار کنند ، اما نمی توانند مانند یک فایروال به خوبی کار کنند ، اما می توانند به عنوان سروری مناسب در VPN ایفای نقش کنند. 3) می توان از نرم افزار های موجود در برقرارسازی ارتباطات در شبکه VPN استفاده کرد .
کنسرسیوم VPN (vpnc.org/vpnc-features-chart.html) مقایسه ای بین یکسری از محصولات تجاری VPN ارائه داده است .
بسیاری از مراکز مخابراتی و ISPهای بزرگ به ارائه سرویس های VPN در اینترنت dial-up و ارتباطات میان سایتی می پردازند. این مراکز از سرویس های امنیتی ویژه ، اتصال های اینترانت و قابلیت های dial-up جدید در ارائه سرویس های راه دور خود استفاده می کنند . دو مورد از معروف ترین مراکز ارائه دهنده VPN، AT&T VPN Services (att.com) و IP-VPN Internet Wireless Cable & cw.com))

ادامه دارد...

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت دهم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت دهم)

سیستم های شناسایی مزاحمین
حتی اگر یک سازمان از سیاست های امنیتی لازم برخوردار بوده و از فناوری های امنیتی نیز در درون سازمان استفاده کرده باشد ، باز هم ممکن است در معرض حملات افراد سود جو و مزاحم قرار گیرد . به عنوان مثال ، بسیاری از سازمان ها علیرغم استفاده از برنامه های ضد ویروس ، هم چنان مورد حمله ویروس های جدید قرار می گیرند . به همین دلیل است که سازمان ها باید به طور مستمر نواحی آسیب پذیر سیستم ها و شبکه های خود را تحت نظر داشته باشند .
در گذشته ثبت وقایع ممیزی(Audit Logs ) (که از اجزای سیستم و برنامه های متعدد تولید می شود) برای شناسایی غیر خودکار و دستی تعداد lig-in های غیر موفق ، دستیابی غیر موفق به پایگاه های داده ، عدم موفقیت در دسترسی به یک فایل یا ارسال فایل و سایر قوانین و سایر قوانین نقض کننده سیستم ، مورد استفاده قرار می گرفت . مسلماً این شیوه دستی و غیر خودکار با کاستی های خاصی همراه بود . به عنوان مثال ، اگر شیوع و تکثیر حملات مزاحمین در طولانی مدت صورت گیرد به سادگی می توان آنها را از بین برد . امروزه نرم افزاری جدید برای نظارت بر فعالیت های صورت گرفته در شبکه و یا کامپیوتر میزبان ایجاد شده است که می تواند بر فعالیت های مشکوک نظارت داشته باشد و برای مقابله با آن به صورت خوکار وارد عمل شود . به این دسته از نرم افزار ها سیستم شناسایی مزاحمین ( IDS( Intrusion Detection Systems (IDSs ) ) می گویند .
سیستم های IDS شبکه محور و میزبان محور ( Host-based ) در بازار ارائه می شوند . سیستم IDS میزبان محور بر روی سرور یا سایر سیستم های میزبان که تحت نظارت قرار دارند ، می نشیند . این شیستم برای شناسایی فایل های امنیتی که به طور پنهان مورد استفاده قرار می گیرندو با برای کاربرانی که تلاش به دستیابی به برخی از فایل های غیر مجاز را دارند ، مفید است . این سیستم با استفاده از امضایی خاص و یا بررسی رکورد مشاهده هر فایل ، به شناسایی کارهای غیر قانونی انجام شده در شبکه می پردازد . IDS به بررسی مستمر فایل ها می پردازد تا هم خوانی امضای فعلی را با امضای قبلی آن مورد تأیید قرار دهد . در صورت مشاهده هر گونه عدم هم خوانی در این امضای این فایل ها ، مسئولین امنیتی بلا فاصله مطلع خواهند شد . برخی از سیستم های IDS میزبان محور رایج عبارتند از : Symentec’s Intruder Alert ( symentec.com ) ، Tirpwire Security’s ( tripwiresecurity.com ) و McAfee’s Entercept Desktop and Server Agents ( mcafee.com ) .
سیستم IDS شبکه محور به بررسی یکسری از قوانین برای تحلیل فعالیت های مشکوک در شبکه و یا موقعیت های مهم در یک شبکه می پردازد . این سیستم از یک ناظر ( Monitor ) ، مجموعه نرم افزاری که می تواند تمامی شبکه را اسکن کند و عامل نرم افزاری ( Software Agents ) که روی کامپیوتر های میزبان واقع شده و اطلاعات را برای ناظر تهیه می کنند ؛ تشکیل شده است . هم چنین این سیستم به بررسی ترافیک شبکه ( بار بسته های فرستاده و دریافت شده ) برای شناسایی هر گونه رویداد مشکوک یا بروز حمله پرداخته و در صورت وجود مشکل ، آن را به مسولین امنیتی شبکه اعلام می دارد . این نوع IDS ها هم چنین می توانند در صورت بروز حمله دست به اقدامات مشخصی بزنند . به عنوان مثال ، این سیستم می تواند بر اساس سیاست های امنیتی تعیین شده به ارتباطات شبکه پایان دهد و یا فایروال ها و سایر برنامه های امنیتی را در شبکه فعال سازد . Cisco Sysstem’s NetRanger ( cisco.com ) و Computer Association’s eTrust Intrusion Detection ( www3.ca.com/solution/product.asp?id=163 ) مثال هایی از این نوع سیستم های شناسایی هستند .

سیستم های Honeynet و Honeypot
یکی دیگر از فناوری هایی که در تحلیل و شناسایی مزاحمین کمک می کند ، Honeynet هستند . این فناوری یک شبکه از Honeypot های گوناگون است که می تواند مزاحمین را همانند کندوی عسلی که زنبورها را به سوی خود جذب می کند ، به طرف خود بکشاند . در اینجا Honeypot ها از یکسری منابع سیستم اطلاعاتی نظیر فایروال ، مسیریاب ، وب سرور ، سرور های بانک اطلاعاتی ، فایل ها و غیره تشکیل شده اند که ظاهر آن ها مثل سیستم های اطلاعاتی بود و اما در حقیقت کار آن ها شبیه به هم نیست . تفاوت بین یک Honeypotو سیستم واقعی ، این است که فعالیت هایی که در Honeypot صورت می گیرد نظارت بر روی حملات مزاحمین برای دستیابی به منابع اطلاعاتی سیستم است . تحقیقات نشان داده است که Honeynet ها می توانند اطلاعاتی را در زمینه حمله هکرها ، زمان حمله ، چگونگی حمله و این که آن ها پس از بهره برداری از یک سیستم به چه کاری می پردازد و یا هکر ها چگونه با یکدیگر در حین حمله وپس از آن ، ارتباط برقرار میکنند ، فراهم آورند .
Honeynet و Honeypot در آوریل 1999همراه با پروژه Honeynet Project ایجاد شد (Honeynet 2004 ) . پروژه Honeynet Project ،یک پروژه ملی و غیر انتفاعی است که از یک گروه حرفه ای از افرادی که با مسائل امینتی سر و کار دارند ، تشکیل شده است . هدف اصلی این گروه ، افزایش آگاهی در زمینه خطرات احتمالی امنیتی ( که ممکن است هر سیستمی را که به اینترنت متصل می شود ، تهدید کند ) است . این گروه هم چنین به آموزش و ارائه اطلاعات به جوامع امنیتی پرداخته تا بتوانند راه های جدید تر و بهتر ی را در مقابله با حملات صورت گرفته در منابع شبکه بیابند . این پروژه ، Honeynet ویژه خود را اجرا کرده اما هیچ تلاشی برای جذب هکر ها ندارد . آن ها تنها Honeypot ها را به اینترنت متصل کرده و منتظر حمله به سیستم های کامپیوتری می مانند .
پروژه Honeynet از چهار مرحله تشکیل شده است . سه مرحله ابتدایی آن تکمیل شده است . هدف مرحله جاری ( مرحله چهارم ) ، که از سال 2004 تا 2005 در حال اجراست ، ایجاد یک سیستم مرکزی است که بتوانند اطلاعات لازم را از شبکه های Honeynet توزیع شده جمع آوری کند .
در پروژه Honeynet ، از Honeypot ها برای انجام فرایند تحقیق استفاده می شود . از Honeypot ها هم چنین می توان در سیستم های تولیدی و برای کاهش خطرات احتمالی حمله به سیستم های شبکه ، استفاده کرد . یک سازمان ، می تواند به راحتی با افزودن یک Honeypot به شبکه خود ، از حملات احتمالی به سیستم های خود بکاهد . هر چند یک Honeypot نمی تواند جلوی حمله به کامپیوتر ها را بگیرد ، اما می تواند فرآیند شناسایی ومقابله با حمله را آسان سازد . از آنجا که ترافیک ایجاد شده در Honeypot ها به علت داده های فرستاده شده توسط مهاجمین است ، بنابراین به راحتی می توان با تحلیل این داده ها ( فایل های ثبت شده از وقایع سیستم ) به شناسایی حملات و داده های تولید شده توسط افراد سودجو پرداخت . Honeypot ها می توانند از صفر ، نسخه های تجاری و یا منابع آزاد تهیه شوند . Back Officer Friendly ( nfr.com/resource/backofficer.php ) ، Specter ( specter.com/default50.htm ) ، Honeyd ( honeyd.org ) و Decoy Server ( enterprisesecurity.symantec.com/products/products.cfm?productid=157 ) مثال هایی از منابع تجاری یا سیستم های منابع آزاد هستند .

ادامه دارد...

 

[fereshte_m]

محمد جان دست گلت درد نکنه .
3روز که در این مورد search میکردم که نمیتونستم مطلب خوبی پیدا کنم ولی حالا
پیدا کردم .

بازم ممنونم ​

 

[Narciss]

از این کاملتر نمی شد! خیلی ممنون.

 

[محمد پرنده]

سلام به شما دوست عزیز.
از اینکه تونستید از این تاپیک استفاده کنید ، خیلی خوشحالم.
موفق باشید.

 

[محمد پرنده]

سلام به شما دوست عزیز.
از اینکه تونستید از این تاپیک استفاده کنید ، خیلی خوشحالم.
موفق باشید.

 

[محمد پرنده]

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت یازدهم)

نیاز دائمی به امنیت در تجارت الکترونیک(قسمت یازدهم)


3 ) خلاصه
3-1 زمینه های مستعد حملات کامپیوتری : تحقیقات انجام شده در مسائل امنیتی سیستمهای کامپیوتری و شبکه ها، ترکیبی از حملات گوناگون را نشان میدهد.حمله به سیستمهای کامپیوتری و شبکه ها روز به روز در حال افزایش است.داده های جمع آوری شده توسط موسسه CSI و FBI نشان میدهد که در چند سال اخیر مسائل و مشکلات امنیتی کاهش یافته است. اما در مقابل نتایج حاصله از موسسه CERT و مجله CSO Magazine افزایش قابل توجه جرائم الکترونیکی را نشان میدهد.هر چند نتایج این موسسات کاملاً با یکدیگر متفاوت است، اما آنچه که هر دو به آن اشاره دارند اینست که جرائم الکترونیکی یکی از معضلات جامعه ارتباطات امروزی بوده که میتواند خسارت اقتصادی فراوانی را به بار آورد.
3-2 امنیت لازمه هر کسب و کار : از آنجا که در ایالات متحده، اینترنت تمامی زیرساختهای ارتباطی و کنترلی جوامع را بعهده گرفته است، بنابراین کنترل مسائل امنیتی و اندیشیدن در زمینه ایمن سازی ارتباطات بعهده بخش DHS است. DHS تلاش دارد تا یک سیستم پاسخ گوی امنیتی ایجاد کرده، میزان آسیب پذیریها و تهدیدها را کاهش داده و آگاهی افراد را در زمینه مسائل و مشکلات امنیتی افزایش دهد، فضاهای مجازی دولتها را ایمن سازد و شرکتهای بین المللی را به گام برداشتن در راستای مسائل امنیتی تشویق کند. برای انجام این اقدامات باید قدمی بزرگ برداشت. برای این منظور باید تمامی کاربران خانگی، شرکتهای کوچک و بزرگ، زیرساختها و نهادهای مهم، عاملها و موسسات ملی و بین المللی در این امر مشارکت داشته باشند.
3-3 مسائل مهم امنیتی : مالکین وب سایتهای تجاری در تجارت الکترونیکی، باید کاملاً به اصول امنیتی آگاهی داشته باشند. از جمله این مسائل میتوان به تا ئید اعتبار، شناسائی هویت افراد مشارکت کننده در معاملات الکترونیکی و غیره اشاره کرد. منظور از تائید اعتبار، مجاز دانستن افراد یا فرایندهایی است که به داده ها و یا سیستمهای خاصی دسترسی دارند. ممیزی، توانایی تعیین اعمال خاص انجام گرفته و انجام دهنده آن اعمال است. محرمانه بودن اطلاعات، به معنی اینست که آیا منابع اطلاعاتی از نظر عدم افشای محتوا در برابر غیر مجاز ایمن بوده و محرمانه بودن آن حفظ میشود یا خیر، همچنین آیا جامعیت داده ها حفظ شده و مورد تغییر قرار نگرفته است؟ فرآیند در دسترس بودن، دسترسی داشتن به اطلاعات و برخی از منابع را بهنگام نیاز مورد بررسی قرار میدهد و سرانجام فرایند تکذیب ناپذیری به بررسی عدم تکذیب فرآیندها و تبادلات صورت گرفته توسط افراد می پردازد.
3-4 انواع حملات امنیتی یک شبکه : سایتهای تجارت الکترونیکی در معرض حملات گوناگون کامپیوتری قرار دارند. حملات میتواند به صورت غیر فنی (مهندسی اجتماعی) باشد. در این حالت افراد سودجو با برقراری ارتباط با دیگران به کسب اطلاعات مهم پرداخته تا به وسیله آن بتوانند به یک شبکه اطلاعاتی راه یافته و از آن بهره برداری کنند، البته حملات میتوانند به صورت فنی نیز باشند. در این صورت افراد سودجو از یکسری نرم افزارها یا سخت افزارهای پیشرفته برای بهره برداری از سیستمهای شبکه استفاده میکنند. در طی حملات DoS و DDoS فرستادن حجم وسیعی از داده ها به کامپیوتر مقصد از طریق سایر سیستمهای کامپیوتری که به اینترنت متصل هستند، آنرا برای مدتی از فعالیت باز دارد.حملات با کدهای مخرب شامل ویروسها، کرمها و اسبهای تروا یا ترکیبی از اینها هستند. در دو سال اخیر، کدهای مخرب زیادی بکار گرفته شده اند که موجب افزایش سرعت و حجم این حملات، افزایش سرعت یافتن یک ناحیه آسیب پذیر و روی دادن یک حمله برای بهره برداری از نواحی آسیب پذیر، افزایش حملات به برنامه های وب و تغییر در انگیزه افراد سودجو و مزاحم برای کسب درآمدهای مالی غیر قانونی شده اند.
ادامه دارد...

 

[scientific infor]

سلام جناب مهندس
ازاطلاعاتتون ممنونم خیلی مطالب کاملی بود.​

 

[*future*]

سلام
مرسی از اطلاعاتتون
عالی بود

 

[SlibiaOutlilk]

Get More Clients To Your Visitors

Get More Clients To Your Visitors

Hello! Do you need more clients to your visitors? Don't worry we can help you. Just go to our homepage: http://showtotheworld.org and let's start working. You can awesome testimonials on our website. Best regards, Jen

 

[Drago]

Hello! Do you need more clients to your visitors? Don't worry we can help you. Just go to our homepage: http://showtotheworld.org and let's start working. You can awesome testimonials on our website. Best regards, Jen

یعنی به همین راحتی یه بات میتونه اینجا پیام بزاره؟؟ عضویت کپچا نداره؟ تایید ایمیل نمیخواد؟؟

 

[mn-najafi]

سلام دوست عزیز ، خیلی ممنون از مطلب کامل شما- من رشتم کامپیوتره، با توجه به علاقم اطلاعات خوب و کاملی از مقاله شما کسب کردم- به امید موفقیتهای روز افزون برای شما و سایر دوستان عضو

 

[amirand]

آره.
سرویس DOSهمون سرویس عدم دسترسی کاربر مجاز رو ایجاد میکنه که باعث میشه سرور ما از کار بیفته.اون دسته از سیستم هایی هم که این حجم اطلاعات رو برای سیستم سرورمیفرستن زامبی نام دارند.در واقع DOSروی آنها نصب میشه و به دفعات در خواست به سرور میفرسته بدون اینکه شخص حقیقی بفهمه.
حملات به :1-فعال2-غیر فعال-3-وقفه-4دستبرد تقسیم بندی میشن.
حواسمون باید به حملات غیر فعال ببیش از بقیه باشه

حالاDOSاز کدوم نوعه؟
از نوع وقفه محسوب میشه.