1. بررسی امنیت در تجارت الکترونیک(موضوع مورد بررسی فروشگاه اینترنتی) تهیه وتنظیم :فرناز خسرونیا استاد : آقای سخاوتی زمستان 89

2. مقدمه با تمام مزایاییکه تجارت الکترونیک بهمراه دارد ، انجام تراکنش ها و ارتباطات آنلاین محلی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می کند. هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت ، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری قرار می گیرند. با اینحال آنچه مهمتر از میزان خسارات ا ین آمار است ، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی ، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می توان به راحتی فرض کرد که تعداد این سوء استفاده ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد.سایتهای تجارت الکترونیک از هر روشی که برای فروش کالا و دریافت هزینه ها استفاده کنند باید نکته مهمی را در نظر بگیرند و آن برقراری امنیت سایت است. واضح است که مشتریان تا از امنیت اطلاعات کارت اعتباری خود و دیگر مشخصات مطمئن نباشند هرگز از فروشگاه خرید نخواهند کرد.

3. معرفی موضوع بررسی امنیت در یک فروشگاه اینترنتی است هم از جنبه سفارش کالا ودریافت کالاو همچنین در پرداخت هزینه کالا و معرفی خطرها وتهدیداتی که در این زمینه وجود دارد وهمچنین بررسی مکانیزم ها و سرویسهای امنیتی مورد نیاز.و در انتها نگاهی به امنیت در سایت alibaba شده است.

4. برقراری امنیت در سایت فروش آنلاین . 1.مطرح کردن سیاست امنیتی 3. استفاده از سرویس امنیتی 2.استفاده از مکانیزم امنیتی

5. سیاست امنیتی مطرح در فروشگاه اینترنتی سیاست امنیتی یک سایت تجارت الکترونیک را از جنبه های مختلفی می توان بیان کرد.سه جنبه اصلی عبارتند از:1. تبادل اطلاعات بین مشتری و سایت ( مثل اطلاعات محرمانه ، مشخصات کارت اعتباری ، مشخصات خریدار و آدرس وی ) باید به نحوی باشد که هیچ سارق اطلاعاتی نتواند آنها را در مسیر انتقالشان از کامپیوتر خریدار تا کامپیوتر سرویس دهنده ، خوانده و استفاده کند.2. مشتری باید اطمینان حاصل کند که پول را به سایتی می پردازد که از آن خرید کرده است و نه به یک مقصد ناشناخته ، به عبارت دیگر فروشگاه باید ثابت کند همان چیزی است که ادعا می کند.3. فروشگاه باید اطمینان حاصل کند آدرسی که مشتری برای تحویل کالاهای خریداری شده اعلام کرده است آدرس واقعی خود مشتری است و نه یک مقصد ناشناخته دیگر که توسط یک سارق و با استفاده از مشخصات مشتری به فروشگاه اعلام شده است.

6. حوزه های مورد بررسی امنیت در فروشگاه اینترنتی 6

7. تهدیدات مربوط به تولید تهدیدات این بخش عمدتاً به منظور به دست آوردن اطلاعاتی محرمانه و یا ایجاد تغییري در سیستم می باشد. که نمونه این تهدیدات در این بخش عبارت است از Price Manipulation همانطور که اسم این روش نشان می دهد عبارت است از دستکاري قیمت، به این صورت که به هنگام محاسبه قیمت کل به علت ذخیره سازي یکسري از اطلاعات خرید بر روي سیستم مشتري، هکر با استفاده از یک برنامه که بتواند ارتباطات خود و سرویس دهنده را پروکسی کند مانند برنامه (Achilles )می تواند اطلاعات مهمی از جمله قیمت را تغییر دهد که اگر کنترل هاي لازم در سمت برنامه سرویس دهنده وجود نداشته باشد ضرر مالی این کار متوجه شرکت سرویس دهنده میشود

8. تهدیدات مربوط به تولید Password guessing همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک، بسیار زیاد دیده می شود. این روش خود به دو قسمت حمله هاي واژه نامه اي و حمله هاي مبتنی بر آزمایش تمامی عبارات ممکن تقسیم می شود.

9. تهدیدات مربوط به تولید SQL Injection این روش وارد کردن دستورها و عباراتی به زبان قابل فهم توسط SQL در قسمتهایی از یک وب سایت است که می توانند مقادیري را به صورت ورودي دریافت کنند. بنابراین هکر میتواند یک دستور را بر روي سرور بانک اطلاعات اجرا کند. که حاصل اجراي این دستور می تواند به دست آوردن اطلاعات کاربران، اطلاعات کارت هاي اعتباري، جزییات مبادلات انجام شده و... باشد.

10. تهدیدات مربوط به ارائه بیشتر تهدیدها در این مفهوم مربوط به ضعف تکنولوژي می باشد و موارد دیگر در جایگاه هاي بعدي قرار می گیرند. کدهاي مخرب (Worm, Virus,…) این دسته از تهدیدها که می توانند باعث از کار افتادن سیستم شوند به عنوان یکی از مهمترین تهدیدهاي سیستم عامل به حساب می آیند.

11. تهدیدات مربوط به ارائه DOS (Denial of Service) این دسته از حملات تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به علت وجود یک ضعف در سیستم باشد و یا به علت حجم بالایی از تقاضا.

12. تهدیدات مربوط به ارائه آسیب پذیري سرویس دهنده از جمله بزرگترین معضلات تکنولوژي وجود ضعفهاي امنیتی می باشد. این ضعفها از چند جهت قابل بررسی می باشد: یکی از این جهت که معمولاً این ضعفها اول توسط تیم هاي هکري کشف می شوند و در جهت کارهاي خرابکارانه مورد استفاده قرار می گیرند. دوم اینکه در برخی از موارد علیرغم انتشار بسته هاي امنیتی ممکن است که یکسري از استفاده کنندگان آنها رایا به علت سهل انگاري و یا به علت عدم آگاهی در سرویس دهنده و یا سیستم عامل اعمال نکنند.

13. تهدیدات مربوط به انتقال در بحثانتقال که تنها با بستر ارتباطی سروکار دارد از جمله مهمترین خطراتی که آن را تهدید می کند عبارت است از: استراق سمع اطلاعات توسط فردی خوانده می شود و می تواند بعداً مورد استفاده قرار گیرد. مثل شماره حساب یك فرد، در این حالت محرمانه بودن اطلاعات از بین می رود؛

14. تهدیدات مربوط به انتقال تغییردادن پیام امكان دارد پیام هنگام انتقال تغییر كند و یا كلاً عوض شود و سپس فرستاده شود. مثلاً سفارش كالا می تواند تغییر یابد؛

15. تهدیدات مربوط به انتقال تظاهركردن ممكن است شخصی خود را به جای یك سایت معرفی كرده و همان اطلاعات را شبیه سازی كند و پس از دریافت مقادیر قابل توجه هیچ پاسخی به خریداران نداده و ناپدید گردد.

16. تهدیدات مربوط به دریافت در مفهوم دریافت به طور کلی با کاربران سیستم در ارتباط هستیم. تهدیدات در این بخش:

17. نمونه ای از حملات امنيتي 17 Information source Information destination جريان عادي

22. خدمات امنیتی 22

23. انواع فناوری حفاظت و ایمنی مطلوبترین فن آوری های امنیتی عبارتند از :1.مسیریاب Routers2.دیواره های آتش Internet Firewalls3.سیستم های کشف تجاوز Intrusion Detection System4.Public Key Infrastructure PKI5.شناسایی Authentication6.رمزنگاری Encryption

24. رمز نگاری رمز نگاری در ايجاد سرويسهای امنيتی زير کاربرد دارد: محرمانگي هويت شناسي عدم انكار جامعيت

25. انواع روشهای رمزنگاری مبتنی بر کليد: الگوريتمهای کليد متقارن: رمز گذاری و رمز برداری با يک کليد انجام می گيرد.

26. انواع روشهای رمزنگاری مبتنی بر کليد: الگوريتمهای کليد نامتقارن (کليد عمومی): هر فرد يک کليد عمومی و يک کليد خصوصی دارد. بر اساس قوانين زير عمل می کند: D(E(P))=P استنتاج D از E بسيار بسيار دشوار است. E را نمی توان به ساده گی کشف کرد. دفی هلمن و RSA نموته ای از اين الگوريتمها ست. کاربرد در امضای ديجيتال.

27. انواع روشهای رمزنگاری مبتنی بر کليد:

28. امنیت در پرداخت الکترونیک از دو دیدگاه می توان به موضوع امنیت در پرداخت الکترونیک نگاه کرد . از یک سو کاربران در زمان انجام پرداخت آن لاین دوست دارند که پولشان در امان باشد وبابت کالا یا خدمات ارائه شده از پول موجود آنها یک بار استفاده شود از سوی دیگر بانک هاوسازمان های خدماتی در زمینه ی پرداخت نسبت به موقعیت خود در قبال حفظ وجوه خودو مسائل مالی و اطلاعات شخصی افراد حساس هستند. از این منظر معمولاً جنبه هایی مانند گمنامی ، رمزنگاری وunforgeability (ناتوانی در ایجاد پول تقلبی در سیستم) در مسأله ی امنیت مدّ نظر قرار می گیرد.

29. گمنامی (anonymity) این ویژگی مبین خواسته های کاربر مبنی بر حفظ اطلاعات شخصی و خصوصی وهویت وی می باشد. در برخی از معاملات هویت طرفین معامله می تواند فاش نگردد که به آن گمنامی گفته می شود.گمنامی به این مسأله اشاره می کند که امکان کشف و افشا ی هویت هیچ فردی وجود ندارد.

30. پرداخت در تجارت معمول و سنتی، مشتریان برای خرید کالا ها و خدمات از وجه نقد، چک یا کارت های اعتباری استفاده می کردند ؛ اماخریداران آن لاین برای خرید کالاها و خدمات به صورت آن لاین ممکن است ازسیستم های پرداخت که درادامه معرفی شده استفاده کنند.

31. عوامل شرکت کننده در پرداخت الكترونيك (Payer ) پرداخت کننده (Payee ) دريافت کننده (Issuer ) بانک کارگزار مشتري (Acquirer ) بانک کارگزار فروشنده

32. روش های پرداخت الکترونیک كارت اعتباري (Credit Card) • چك الكترونيكي(E-check)

33. روش های پرداخت الکترونیک امضای دیجیتال

34. روش های پرداخت الکترونیک سیستم Cyber Cash شامل كليدهاي رمز عمومي و اختصاصي و امضاء ديجيتالي سيستم مايكروسافت محصولات Ms Back Office E-Wallet مربوط به شركت master card است پول ديجيتالي

35. امنیت در پرداخت یکی از ابزارهاي اصلی جهت فراهم نمودن امنیت در تجارت الکترونیکی مرجع صدور گواهی است. در چنین سیستمی گواهی براي هر کاربر صادر می گردد وکاربران به مرجع اعتماد کامل دارند. هستند. x. معمولاً گواهیها مبتنی بر استاندارد 509 Secure Electronic Transaction (SET) یک نمونه کاربرد گواهی،استاندارد است که مسائلی از قبیل محرمانگی و اطمینان از انتقال داده، احراز اصالت طرفین معامله، اطمینان از تمامیت تمام اطلاعات مالی در این سیستم لحاظ شده است

36. امنیت در پرداخت در نهایت مرور مختصري در خصوص یکی از استانداردهاي مرتبط با تجارت الکترونیکی، یعنی Secure Electronic Transaction (SET) خواهیم داشت. SET مجموعه اي از پروتکلها و فرمتهایی است که به کاربران اجازه می دهد تا در شبکه هاي گسترده بتوانند از کارتهاي اعتباري عادي استفاده نمایند . SET سه سرویس را فراهم می آورد: کانال ارتباطی امن بین افراد درگیر در یک تراکنش فراهم می آورد. با توجه به نسخۀ سوم گواهیx.509 اعتماد بوجود می آورد. با امضاي دوگانه اطمینان از حفظ حریم خصوصی را بوجود می آورد.

37. (Dual Signature)امضاي دوگانه

38. ملزومات تجاري براي پروسۀ پرداخت امن در SET عبارت اند از حفظ محرمانگی پرداخت و اطلاعات سفارش. حفظ تمامیت داده هاي انتقالی. حفظ احراز هویت صاحب کارت. اطمینان از استفاده از بهترین ابزارهاي امنیتی و همچنین بهترین تکنیکهاي طراحی سیستم جهت حفاظت از کلیه افراد درگیر در انتقالات تجاري. استفاده از پروتکلهاي امنیتی مستقل بدون محدود کردن استفاده از دیگرپروتکلها (مثلاً می توان ازssl ,ip sec نیز استفاده نمود). بوجود آوردن امکان عملکرد متقابل بین نرم افزارها و سرویس دهندگان شبکه.

39. SET افراد درگیر در سیستم SET در شکل زیر نمایش داده شده اند که به دلیل محدودیت در سایز مقاله شرح وظایف عناصر حذف می گردند.

40. امنیت در سایت علی بابا سایت علی بابا سایت معروف b2bاست امکانات امنیتی بسیاری در سایت برقرار است که به نمونه از آنها اشاره می کنیم.

41. اهراز هویت و اجازه دسترسی برای خریداران در سایت علی بابا برای خرید این سرویس کاملا رایگان است، برای عضویت در این سرویس رایگان در فرماول Buyer را انتخاب کنیددر این حالت صفحه بعدی از شما اطلاعات کاربری و سایر اطلاعات را درخواست می کند که باید یک شناسه کاربری و رمز عبور برای خود انتخاب کنید و سایر اطلاعات خواسته شده را بطور کامل وارد کنید. و بر روی دکمه Next Step کلیک کنید.

42. اهراز هویت و اجازه دسترسی برای خریداران در سایت علی بابا سایت علی بابا یک پیغام به آدرس پست الکترونیکی شما ارسال می کند که در این پیعام یک لینک جهت فعال کردن سرویس و چک کردن صحت آدرس پست الکترونیکی شما وجود دارد. در این مرحله ای میل خود را بازدید کنید و بر روی این لینک کلیک نمائید تا سرویس شما فعال شود. بعد از این کار وارد سایت علی بابا شوید و بر روی لینک My Alibabaکلیک کنید. شناسه کاربری و رمز عبور را وارد کنید و وارد سایت شوید.

43. حفظ امنیت و یکپارچگی عدم انکار قق برای حفظ امنیت و یکپارچگی در سایت نرم افزارهایی وجود دارند که تقلب در تجارت و حتی ایمیل های تقلبی را شناسایی مکنند وحتی بخشی را قرار داده که مشتریان می توانند موارد مشکوک در سایت را گزارش دهند آنها به آن رسیدگی می کنند.و درصورت صحت آن را به db نرم افزار خود اضافه کرده ودر مواقع ضروری به مشتریان خود alert میدهند.

44. امنیت در سایت علی بابا سرویس های امنیتی مختلفی را در این بخش معرفی میکند

45. پرداخت در سایت علی بابا پرداخت امن در این سایت که از طریقpapal (یک gateway است)یا سرویس escrow انجام می شود که باعث کاهش خطر معامله میشوند.

46. فروشنده ها هویت فروشنده ها توسط شخص ثالث و شرکت های معتبر تایید میشود .