(عبدالرضا دادائی) abdolreza dadaei
چکیده:
پديده تجارت الكترونيك، از ضروريات تجارت در قرن 21 ميباشد. لذا براي استفاده از اين فنآوري نوين، لازم است عوامل محيطي مستقيم و غيرمستقيم بعنوان زيربنا در امر توسعه صادرات، مورد بررسي و مطالعه و بازنگري قرار گيرند. همچنين تجار و ساير دستاندركاران در امر تجارت بايد اين امر حياتي را شناخته و درك نمايند. براي رسيدن به اين منظور لازم است ابتدا عوامل و در واقع موانع محيطي شناخته و اولويتبندي شوند، سپس ضريب اهميت هر كدام رامعين كنيم و در نهايت الگويي جهت پيادهسازي مناسب تجارت الكترونيك ارائه نمائيم. در اين مقاله نيز همين مراحل انجام شده است. با مطالعه اين عوامل در 73 كشور در حال توسعه و توسعه يافته، الگوي مناسبي جهت استفاده از تجارت الكترونيك در ايران داده شده و پيشنهاداتي مناسب با يافتههاي تحقيق ارائه گرديده است.
مقدمه:
تجارت الکترونیکی از موضوعاتی است که در سالهای اخیر مورد استقبال فوق العاده ای قرار گرفته است و این امر ضرورت انجام تحقیقات بیشتر برای یافتن راهکار های جدید در این زمینه را نشان می دهد. تجارت الکترونیکی , در زمینه مختلف و فعالیتهای بازرگانی گوناگون از معاملات الکترونیکی میان خریداران خرد. بازرگانان و مشتریان بنگاهای بازرگانی ، مراکز اطلاع رسانی ، مبادلات مشاورهای ، مجاورات جوامع و انجمنهای مجازی گرفته تا مبادلات میان دولت و ملتها گسترش یافته است.همه این موارد باعث شده تا این مبحث به عنوان مهمترین مسئله و دانش روز مطرح شود ودغدغه بنیادین کشورهای توسعه نیا فته ویا در حال توسعه باشد زیرا اینگونه کشورها می دانند با کوچکترین کوتاهی در این زمینه به زودی و به طور کامل از میدان تجارت جهانی کنار رفته همین بهره اندک خود را نیز به کشور های توسعه یافته صنعتی که همگام با این تجارت نوین گام برداشته اند خواهند سپرد.
تاریخچه
استفاده از فناوری الکترونیکی در انجام امور بازرگانی پیشینه ای نسبتا طولانی دارد در حقیقت نیاز به تجارت الکترونیکی از تقاضاهای بخشهای خصوصی و عمومی برای استفاده از تکنولوژی اطلاعات به منظور کسب رضایت مشتری و هماهنگی موثر درون سازمانی نشأت گرفته است .می توان گفت این نوع تجارت از حدود سال 1965 آغاز شد که مصرف کنندگان توانسته اند پول خود را از طریق ماشینهای خود پرداز (ATM) دریافت کرده و خریدهای خود را با کارتهای اعتباری انجام دهند .پیش از توسعه تکنو لوژی مبتنی بر اینترنت در سالهای آغازین دهه 90 شرکتهای بزرگ دست به ایجاد شبکه های کامپیوتری با ارتباطات مشخص محدود و استاندارد شده برای مبادله اطلاعات تجاری میان یکدیگر زدند.این روش مبادله الکترونیکی EDI نامیده شد. در آن سالها لفظ تجارت الکترونیکی مترادف با مبادله الکترونیکی دادها بود .ایجاد وتوسعه و پیشرفت زیر ساختها و کاربردهای تجارت الکترونیک گردید .از نظر استادان جهش تکنولوژی اطلاعات دو دوره بیست ساله را پشت سر گذاشته و اکنون وارد دوره سوم شده است.
1995- 1974 میلادی : عصر پردازش الکترونیکی داده ها ، 1975- 1994 میلادی : عصر سیستمهای اطلاعاتی مدیریت ، 1995- 2014 میلادی:عصر اینترنت.
هر بیست ساله امکانات تجارت الکترونیکی را متناسب با توانایی های تکنولوژی اطلاعاتی آن عصر فراهم آورده است.در حالی که ماشینهای خود پرداز و کارتهای اعتباری در عصر بیست ساله نخست به جریان افتادند .در عصر دوم امکانات استفاده از مبادله الکترونیک داده ها سیستم بانکی بین المللی و انتقال وجه الکترونیکی فراهم شد.اما توسعه الکترونیک و کار برهای تجاری آن باعث تحول اساسی در این روند تکاملی تجارت الکترونیکی سنتی و نوع اینترنتی آن تمایز محسوسی قائل شد.
تعریف تجارت الکترونیک
تعامل سیستم های ارتباطی COMMUNICATION ، سیستم های مدیریت اطلاعات DATA MANAGEMENT و امنیتSECURITY که به واسطه آنها امکان مبادله اطلاعات تجاری در رابطه با فروش محصولات و یا خدمات میسر می گردد.
بنا بر تعریف، اجزا اصلی الکترونیک عبارتند از:
1.COMMUNICATION (سیستمهای ارتباطی)2.DATA MANAGEMENT (سیستمهای مدیریت داده ها)
3.SECURITY (امنیت)
امنیت در بر قراری تجارت الکترونیکی موفق شامل مراحل زیر میباشد:
1- امنیت میزبان (securitry Host) 2- امنیت سیستم عامل (Os sercuritry)
3- امنیت سرویس دهنده وب (securitry web serer) 4- امنیت شبکه (Network securitry)
5- ابزارهای ضد ویروس (Antirirus Tools)6- دیوارهای آتش (Firewalls)
7- یک خط مشی توام با آموزش (Securitry Policy)
امنیت میزبان:
سطح میزبان در مدل امنیت لایه بندی شده، مربوط به ابزار منفرد مانند سرورها، کامپیوترهای شخصی، سوئیچ ها، روترها و غیره در شبکه است. هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند، می توانند سوراخ های امنیتی نفوذپذیری ایجاد کنند. این پارامترها شامل تنظیمات رجیستری، سرویس ها، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزارهای مهم می شود.
امنیت شبکه:
امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
1- شناسایی بخشی که باید تحت محافظت قرار گیرد.
2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3-تصمیم گیری درباره چگونگی تهدیدات
4-پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
Firewall:
ديوار آتش سيستمي است كه در بين كاربران يك شبكه محلي و شبكه بيروني (مثلاً اينترنت) قرار مي گيرد و ضمن نظارت بر دسترسي ها، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد.
انواع دیواره های آتش
1-دیواره های آتش هوشمند
2- دیواره های آتش مبتنی بر پروکسی
دیواره های آتش هوشمند
امروزه حملات هکرها تکنیکی و هوشمند شده است به نحوی که با دیواره های آتش و فیلترهای معمولی که مشخصاتشان برای همه روشن است نمی توان با آنها مقابله کرد. بنابراین باید با استفاده از دیواره های آتش و فیلترهای هوشمند با آنها مواجه شد.از آنجا که دیواره های آتش با استفاده از حذف بسته ها و بستن پورت های حساس از شبکه محافظت می کنند و چون دیواره های آتش بخشی از ترافیک بسته ها را به داخل شبکه هدایت می کنند، (چرا که در غیر این صورت ارتباط ما با دنیای خارج از شبکه قطع می شود)، بنابراین هکرها می توانند با استفاده از بسته های مصنوعی مجاز و شناسایی پورت های باز به شبکه حمله کنند. بر همین اساس هکرها ابتدا بسته هایی ظاهراً مجاز را به سمت شبکه ارسال می کنند.یک فیلتر معمولی اجازه عبور بسته را می دهد و کامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را می دهد. بنابراین هکر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن کامپیوتر هدف اطمینان حاصل می کند. برای جلوگیری از آن نوع نفوذها دیواره آتش باید به آن بسته هایی اجازه عبور دهد که با درخواست قبلی ارسال شده اند.حال با داشتن دیواره آتشی که بتواند ترافیک خروجی شبکه را برای چند ثانیه در حافظه خود حفظ کرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد می توانیم از دریافت بسته های دیواره های آتش هوشمند فقط نقش ایست بازرسی را ایفا می کنند و با ایجاد ارتباط بین کامپیوترهای داخل و خارج شبکه کاری از پیش نمی برد. اما دیواره های آتش مبتنی بر پروکسی پس از ایجاد ارتباط فعالیت خود را آغاز می کند. در این هنگام دیواره های آتش مبتنی بر پروکسی مانند یک واسطه عمل می کند، به نحوی که ارتباط بین طرفین به صورت غیرمستقیم صورت می گیرد. این دیواره های آتش در لایه سوم دیواره آتش عمل می کنند، بنابراین می توانند بر داده های ارسالی در لایه کاربرد نیز نظارت داشته باشند.
دیواره های آتش مبتنی بر پروکسی باعث ایجاد دو ارتباط می شود:
۱ - ارتباط بین مبدا و پروکسی
۲ - ارتباط بین پروکسی و مقصد
حال اگر هکر بخواهد ماشین هدف در داخل شبکه را مورد ارزیابی قرار دهد در حقیقت پروکسی را مورد ارزیابی قرار داده است و نمی تواند از داخل شبکه اطلاعات مهمی به دست آورد.
دیواره های آتش مبتنی بر پروکسی به حافظه بالا و CPU بسیار سریع نیاز دارند و از آنجایی که دیواره های آتش مبتنی بر پروکسی باید تمام نشست ها را مدیریت کنند گلوگاه شبکه محسوب می شوند. پس هرگونه اشکال در آنها باعث ایجاد اختلال در شبکه می شود. اما بهترین پیشنهاد برای شبکه های کامپیوتری استفاده همزمان از هر دو نوع دیواره آتش است. با استفاده از پروکسی به تنهایی بارترافیکی زیادی بر پروکسی وارد می شود. با استفاده از دیواره های هوشمند نیز همانگونه که قبلاً تشریح شد به تنهایی باعث ایجاد دیواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع دیواره آتش به صورت همزمان هم بار ترافیکی پروکسی با حذف بسته های مشکوک توسط دیواره آتش هوشمند کاهش پیدا می کند و هم با ایجاد ارتباط واسط توسط پروکسی از خطرات احتمالی پس از ایجاد ارتباط جلوگیری می شود.
عملكرد كلی و مشكلات استفاده از ديوار آتش
بسته های IPقبل از ورود يا خروج به شبكه ابتدا وارد ديوار آتش ميشوند و منتظر ميمانند تا طبق معيارهای حفاظتی و امنيتی پردازش شوند. پس از پردازش و تحليل بسته سه حالت ممكن است اتفاق بيفتد:
1- اجازه عبور بسته صادر ميشود (Accept Mode) 2- بسته حذف ميشود (Blocking Mode)
3- بسته حذف شده و پاسخ مناسب به مبدا آن بسته داده شود (Response Mode)
در حقيقت ديوار آتش محلي است براي ايست و بازرسي بسته هاي اطلاعاتي به گونهاي كه بسته ها بر اساس تابعي از قواعد امنيتي و حفاظتي، پردازش شده و براي آنها مجوز عبور يا عدم عبور صادر مي شود.
مبانی طراحی دیواره آتش:
از آنجايی كه معماری شبكه به صورت لايه لايه است ، در مدل TCP/IP برای انتقال يك واحد اطلاعات از لايه چهارم بر روی شبكه بايد تمام لايه ها را بگذراند، هر لايه برای انجام وظيفه خود تعدادی فيلد مشخص به ابتدای بسته اطلاعاتی اضافه كرده و آنرا تحويل لايه پايين تر ميدهد. قسمت اعظم كار يك ديوار آتش تحليل فيلدهای اضافه شده در هر لايه و header هر بسته ميباشد.در بسته اي كه وارد ديوار آتش مي شود به تعداد لايه ها (4 لايه ) سرآيند متفاوت وجود خواهد داشت معمولاً سرآيند لايه اول (لايه فيزيكي يا Network Interface در شبكه اينترنت) اهميت چنداني ندارد چرا كه محتواي اين فيلد ها فقط روي كانال فيزيكي از شبكه محلي معنا دارد و در گذر از هر شبكه يا مسيرياب اين فيلدها عوض خواهد شد. بيشترين اهميت در سرآيندي است كه در لايه هاي دوم ،سوم و چهارم به يك واحد از اطلاعات اضافه خواهد شد.در لايه شبكه ديوار آتش فيلدهاي بسته IP را پردازش و تحليل مي كند.. در لايه انتقال ديوار آتش فيلدهاي بسته هاي TCP يا UDP را پردازش و تحليل مي كند.. در لايه كاربرد ديوار آتش فيلدهاي سرآيند و همچنين محتواي خود داده ها را بررسي مي كند.با توجه به لايه لايه بودن معماري شبكه بنابراین يك ديوار آتش نيز لايه به لايه خواهد بود
لایه اول فایروال:
لايه اول در ديوار آتش بر اساس تحليل بسته IPو فيلد هاي سرآينداين بسته كار مي كند و در اين بسته فيلدهاي زير قابل نظارت و بررسي هستند:
آدرس مبداء وشماره شناسايي يك ديتاگرام وآدرس مقصد و شماره پروتكل وزمان حيات بسته .
مهمترين خصوصيت لايه اول از ديوار آتش آن است كه در اين لايه بسته ها به طور مجزا و مستقل از هم بررسي مي شود و هيچ نيازي به نگه داشتن بسته هاي قبلي يا بعدي يك بسته نيست. به همين دليل ساده ترين و سريعترين تصميم گيري در اين لايه انجام مي شود.
لایه دوم دیوار آتش
در اين لايه از فيلد هاي سرآيند لايه انتقال براي تحليل بسته استفاده مي شود
لايه سوم ديوار آتش
در اين لايه حفاظت بر اساس نوع سرويس و برنامه كاربردي انجام مي شود. يعني با در نظر گرفتن پروتكلي در لايه چهارم به تحليل داده ها مي پردازد. تعداد سرايند ها در اين لايه بسته به نوع سرويس بسیار متنوع و فراوان است. بنابراين در لايه سوم ديوار آتش براي هر سرويس مجاز (مثل سرويس پست الكترونيكي، سرويس ftp، سرويس وب و …) بايد يك سلسله پردازش و قواعد امنيتي مجزا تعريف شود و به همين دليل حجم و پيچيدگي پردازش در لايه سوم زياد است. توصيه مؤكد آنست كه تمام سرويسهاي غير ضروري و شماره پورت هايي كه مورد استفاده نيستند در لايه دوم مسدود شوند تا كار درلايه سوم كمتر باشد.
اگر يك بسته در يكي از لايه هاي ديواره آتش شرايط عبور را احراز نكند همانجا حذف شده و به لايه هاي بالاتر ارجاع داده نمي شود بلكه اين امكان وجود دارد كه آن بسته جهت پيگيري هاي امنيتي نظير ثبت عمل و ردگيري به سيستمي جانبي تحويل داده شود.سياست امنيتي يك شبكه مجموعه اي متناهي از قواعد امنيتي است كه بنا به ماهيتشان در يكي از سه لايه ديوار آتش تعریف مي شوند به عنوان مثال بازرسی های زیر در دیوارآتش بسیار رایج است:
قواعد تعيين آدرس هاي ممنوع در اولين لايه از ديوار آتش
قواعد بستن برخي از سرويسها مثل Telnet يا FTP در لايه دوم
قواعد تحليل سرآيند متن يك نامه الكترنيكي يا صفحه وب در لايه سوم
جایگاه Firewall دریک شبکه
Personal
این نوع فایروال بر روی ایستگاههای کاری نصب می گردد و وظیفه امن نمودن همان ایستگاه کاری را بر عهده دارند
Host Base
این نوع فایروال بر روی سرورهای شبکه نصب می شود و وظیفه امن نمودن سرور خاص را بر عهده دارند
Gate way
این نوع فایروال در مسیرهای اصلی عبور اطلاعات قرار میگیرد و دسترسی های بین شبکه ای را کنترل می نماید.
می توانید با تنظیم هر کدام از موارد زیر به فایروال دیکته کنیدکه چطور عمل کند:
1)نشانی :IPاگر هنگام اداره شبکه محلی خود متوجه شدید که رایانه ای از طریق اینترنت مرتب بهserver شبکه شما وصل میشود و بار ترافیکی زیادی ایجاد می کند،می توانید از فایروال خود بخواهید که به آن رایانه یا نشانی IP مشخص اجازه ورودبه شبکه را ندهد.
2)نام حوزه (Domain name):از آنجا که نشانیIP یک عدد 32بیتی و استفاده از آن راحت نیست،به همه serverها در اینترنت علاوه بر نشانی IP یک نام حوزه اختصاص میدهند.شما می توانید فایروال را طوری تنظیم کنید که رایانه های شبکه محلی بتواند به سایت های خاصی (با نشانی حوزه خاص)دسترسی داشته باشند. یا اینکه به مشخص کردن نام حوزه در فایروال به رایانه های شبکه تان اجازه بدهید که از آن سایت ها دیدن کنند.
3)پورت و پروتکل:پروتکل ، مجموعه قوانین لازم بمنظور قانونمند نمودن نحوه ارتباطات در شبکه های کامپیوتری است فایروال می توانداز طریق شماره پورت های رایانه ها که برای ارتباط با یکدیگر به کار می برند،اطلاعات رد و بدل شده را کنترل کند،همچنین می توان کلمات واصطلاحات خاصی را در بانک اطلاعاتی فایروال مشخص کرد. در اینصورت هنگام وارد یا خارج شدن اطلاعات فایروال محتوای آنها را بررسی می کند و اگر با کلمات خاصی که برایش مشخص کرده ایم روبه رو شوداجازه نمی دهد آن اطلاعات عبورکنند.
امنيت تجارت الكترونيك؛ قابل دسترس، قابل اجرا
نكته بسيار مهم در اينجاست كه روش هاي خاص امنيتي براي حافظت از معاملات اينترنتي چنان سخت گيرانه طراحي شده اند كه مي توان ادعا كرد "ديگر تفاوت چنداني ميان انجام معاملات حضوري و مبادلات الكترونيك باقي نمانده است."
درست به همان نحو كه يك مشتري، اطلاعات شخصي، محرمانه و حساس خود را به صورت رو در رو در اختيار هر فروشنده اي قرار نمي دهد و جوانب امنيتي را به طور كامل حفظ ميكند، در حوزه مبادلات آنلاين نيز نبايد اين اطلاعات را در صفحات، پايگاه ها و نيز سرورهايي كه فاقد مدارك و گواهي نامه هاي خاص امنيتي هستند، وارد كند .
علاوه بر اين، در لايه هاي ارتباطي بالاتر، مدير شبكه خدمات دهنده بايد نهايت دقت و احتياط را در اطمينان از عدم وجود هر گونه كد يا ابزار مخرب (ويروس، تروژان، ابزار هك و ...) و نيز هرگونه آسيب پذيري (حفره ها و نقص هاي امنيتي) به كار برد تا امنيت داده ها و اطلاعات ذخير شده در سرور مورد تهديد قرار نگيرند. همان طور كه بيان شد، بسياري از نرم افزارهاي مخرب مانند تروژان ها با هدف ايجاد آسيب پذيري در سرورها و يا سيستم هاي متصل به آن، تنها از طريق كاربران خانگي و يا ساير شبكه هاي خدمات گيرنده، سازمان هاي ارائه دهنده خدمات آنلاين را تهديد مي كنند. دسترسي هاي غير مجاز در سطوح بالا، سرقت داده هاي حساس و محرمانه و ايجاد خسارت هاي قابل توجه و ... تهديدهاي دائم و شايعي هستند كه از كوچكترين فرصت و باريكترين روزنه استفاده مطلوب مي كنند.
از طرف ديگر، مراجع صدور گواهي نامه هاي ديجيتال، مسئول صدور تأييديه هاي امنيتي براي سرورها و شبكه ها بر اساس پروتكل هاي امنيتي هستند. اين مراكز تصميم گيري مي توانند براي شركت هاي ارائه كننده خدمات الكترونيك، مشتري ها و حتي كاربران عادي اينترنت نيز گواهي نامه هاي ديجيتال صادر كنند.
به عنوان نمونه اي از اين مراجع معتبر مي توان به گروه VeriSign اشاره كرد كه عمده فعاليت هاي امنيتي زيرساخت در اينترنت را به عهده دارد.
نتيجهگيري
با توجه به توسعهء سريع تجارت در جهان و اينكه تجارت ديگر بصورت داخلي نميتواند انجام پذيرد و نيز با توجه به اينكه ايران، جهت حضور فعال در صحنهء جهاني و مجامع بينالمللي مانند سازمان تجارت جهاني و بانك جهاني بايد توان استفاده از فنآوري تجارت الكترونيك را داشته و همچنين با توجه به اين واقعيت كه ايران نيز بايد مانند ساير كشورهاي جهان، استراتژي مشخص و مدوني در خصوص استفاده از تجارت الكترونيك كه از ضروريات تجارت در این قرن ميباشد، داشته باشد
در اين تحقيق شناخت عوامل محيطي مستقيم و غيرمستقيم و تأثير آنها بعنوان مانع در تجارت الكترونيك در ايران و ارائه الگوي مناسب، مدنظر بوده است. در نتيجه پرسشهاي زير انتخاب شدهاند:
1- آيا عوامل محيطي مستقيم (تجار، رقبا، واحدهاي توزيع فيزيكي، مشتريان) در استفاده از تجارت الكترونيك تأثير دارند؟ چقدر؟
2- آيا عوامل محيطي غيرمستقيم (اقتصادي، اجتماعي و فرهنگي، سياسي و قانوني، جمعيتي، تكنولوژيكي) در استفاده از تجارت الكترونيك تأثير دارند؟ چقدر؟
به منظور مطالعه پرسشهاي تحقيق، از دو روش تطبيقي و پرسشنامهاي كه هر دو نتايج مشابهي را نشان ميدادند، استفاده شد و متخصصين داخلي و خارجي بعنوان نمونه انتخاب شدند كه در روش تطبيقي از طريق اينترنت، اطلاعات كشورهاي مختلف كه به نوعي از تجارت الكترونيك بهره ميبردند جمعآوري و بررسي شد. نتايج حاصل از مطالعه پرسشهاي تحقيق بدين گونه بود كه كليه پرسشهاي فرعي در خصوص پرسشهاي اصل اول و دوم در ناحيه قوي و مناسب قرار داشته و تأييد ميشوند.
بخش نخست :بمباران اخبار، اطلاعيه ها و هشدارهاي پي در پي در خصوص مشكلات امنيتي موجود در بانكداري و تجارت آنلاين، رسانه هاي گروهي جهان و مخاطبان آن ها را بيش از خود تهديدهاي امنيتي با سردرگمي مواجه كرده است! به نظر مي رسد جنگ بين امنيت و ضد امنيت پاياني نخواهد داشت و كاربران نگون بخت خدمات اينترنتي، تنها قربانيان اين نبرد محسوب مي شوند؛ درست به اين دليل كه هم مجرمان اينترنتي تا حد زيادي به اهداف خود مي رسند و هم شركت هاي امنيتي، روز به روز بر تجارت و فروش نرم افزارهاي امنيتي خود مي افزايند. شركت هاي ارائه دهنده خدمات آنلاين نيز آنقدر نقدينگي دارند كه حتي ضررهاي هنگفت در نظر ما، براي آن ها كاملاً قابل اغماض باشد.
البته برخلاف بزرگنمايي هاي رسانه اي و تحليل هاي غيرواقعي بسياري از كارشناسان، تهديدهاي امنيتي معاملات الكترونيك به هيچ وجه فلج كننده و غيرقابل كنترل نيستند؛ چرا كه حتي در بدبينانه ترين بررسي ها، از ابتداي تولد جرايم سايبر، مجموع درآمد سالانه مجرمان اينترنتي از چندين ميليون دلار فراتر نرفته است، كه اين مبلغ و حتي چند برابر آن نيز، در مقايسه با گردش جهاني پول كاملاً ناچيز است. به هر ترتيب اغراق و بزرگنمايي مشكلات امنيتي موجود، بي انصافي ست. نبايد اين گونه فكر كرد كه تك تك اعمال، رفتار و فعاليت هاي ما در اينترنت تحت كنترل تبه كاران و ابزار مخرب آن ها قرار دارد. علاوه بر اين، ابزار و نرم افزارهاي امنيتي هم چندان بي كفايت نيستند و قادر به كنترل و انسداد درصد بسيار بالايي از كدهاي مخرب و نفوذهاي غيرقانوني مي باشند و درست به همين دليل تنها درصد محدودي از اقدامات خرابكارانه با هدف سرقت مستقيم يا غيرمستقيم پول به ثمر مي نشينند و اغلب آنها به نحوي خنثي شده و ماهيت مجرمانه خود را از دست مي دهند.
آخرين حلقه زنجير:هيچ دليلي وجود ندارد كه ريسك امنيتي خريد آنلاين از يك فروشگاه معتبر، كمتر از استفاده حضوري از كارت اعتباري و يا وجه نقد در محوطه فيزيكي آن فروشگاه باشد. احتمال اجراي تهديدهاي اينترنتي آنلاين، درست به اندازه اين احتمال است كه شخصي در محل خريد حضوري شما و بدون اين كه متوجه شويد، رمز و شماره كارت اعتباري تان را يادداشت كند و يا حتي خود آن را برداشته و پا به فرار بگذارد...؛ نه بيشتر. تنها تفاوت موجود، محيط انجام معامله است و عدم حضور تهديدهاي فيزيكي و قابل مشاهده .
در مبادلات و معاملات آنلاين احتمال ناديده انگاشتن جوانب امنيتي و عدم رعايت آن، فقط كمي بيشتر از داد و ستدهاي حضوري ست.
در حقيقت مجرمان اينترنتي معمولاً به صورت مستقيم به شبكه هاي سازماني و سرورهاي اطلاعاتي حمله نميكنند؛ بلكه تمام تمام تلاش خود را بر روي آسيب پذيرترين حلقه زنجير متمركز مي كنند... و اين حلقه شكنده چيزي و يا بهتر بنويسم كسي نيست به جز كاربر نهايي. شما هم حتماً تأييد مي كنيد كه دسترسي به اطلاعات حساس و با ارزش سازماني از طريق كاربران خانگي بسيار آسان تر از شكستن لايه هاي مختلف امنيتي، نفوذ به يك پايگاه اطلاعاتي و دسترسي به اطلاعات رمزگذاري شده است.
در اينجا نگاهي مي اندازيم به راهكارها و ملزومات حفاظتي كه هر كاربري براي افزايش امنيت اطلاعات و دريافت خدمات مطلوب در اينترنت، بايد از آن ها آگاه باشد.
ملزومات امنيتي يك صفحه اينترنتي براي ارائه خدمات پولي و تجاري چيست؟
صفحات اينترنتي كه در آن ها مبادلات آنلاين و خدمات حساس مالي يا تجاري انجام مي شود، بايد داراي ملزومات زير باشند:
* تضمين اين مسئله كه داده هاي وارد شده براي انجام مبادلات و يا معاملات الكترونيك، تنها توسط بخش ها يا افراد معيني قابل دسترسي ست. اين مسئله از طريق رمزگذاري انجام مي شود.
* صحت، درستي و عدم نقص اطلاعات درطول عمليات نقل و انتقال؛ به منظور اطمينان از عدم سوء استفاده از اطلاعات حساس. اين مسئله از طريق استفاده از امضاي ديجيتال انجام مي شود.
* و در نهايت، هويت هر دو طرف رابطه تجاري، يعني ارائه دهنده و دريافت كننده خدمات آنلاين، بايد كاملاً واضح و مشخص بوده و مورد تأييد و تصديق قرار گيرد. مدارك هويت ديجيتالي براي رفع نگراني هاي موجود در اين رابطه مورد استفاده قرار مي گيرند.
منابع:
1-تحقيق پيمايش راهنماي عمل، ترجمهء سيدمحمد اعرابي و داوود ايزادي، دفتر پژوهشهاي فرهنگي.
2- اعرابي، سيدمحمد. (1376). روش تجزيه و تحليل تطبيقي در مديريت، دفتر پژوهشهاي فرهنگي.
3- اعرابي، سيدمحمد. (1378). طراحي و تبيين ساختار مناسب براي افزايش كارايي تجاري در ايران، فصلنامهء مطالعات مديريت.، شمارههاي 23 و 24. دانشگاه علامه طباطبائي، پائيز و زمستان.
5- سايتهاي اينترنتي:
http://www.visa.com
http://www.informatic.uni.hildesheim
http://www.ctst.com
http://www.scia.org
http://www.buscom.com
http://www.forrester.com
http://www.ecommerce.gv
http://www.goindstry.com
http://www.fristusa.com
http://www.passport.com
http://www.emag.itgo.com
چکیده:
پديده تجارت الكترونيك، از ضروريات تجارت در قرن 21 ميباشد. لذا براي استفاده از اين فنآوري نوين، لازم است عوامل محيطي مستقيم و غيرمستقيم بعنوان زيربنا در امر توسعه صادرات، مورد بررسي و مطالعه و بازنگري قرار گيرند. همچنين تجار و ساير دستاندركاران در امر تجارت بايد اين امر حياتي را شناخته و درك نمايند. براي رسيدن به اين منظور لازم است ابتدا عوامل و در واقع موانع محيطي شناخته و اولويتبندي شوند، سپس ضريب اهميت هر كدام رامعين كنيم و در نهايت الگويي جهت پيادهسازي مناسب تجارت الكترونيك ارائه نمائيم. در اين مقاله نيز همين مراحل انجام شده است. با مطالعه اين عوامل در 73 كشور در حال توسعه و توسعه يافته، الگوي مناسبي جهت استفاده از تجارت الكترونيك در ايران داده شده و پيشنهاداتي مناسب با يافتههاي تحقيق ارائه گرديده است.
مقدمه:
تجارت الکترونیکی از موضوعاتی است که در سالهای اخیر مورد استقبال فوق العاده ای قرار گرفته است و این امر ضرورت انجام تحقیقات بیشتر برای یافتن راهکار های جدید در این زمینه را نشان می دهد. تجارت الکترونیکی , در زمینه مختلف و فعالیتهای بازرگانی گوناگون از معاملات الکترونیکی میان خریداران خرد. بازرگانان و مشتریان بنگاهای بازرگانی ، مراکز اطلاع رسانی ، مبادلات مشاورهای ، مجاورات جوامع و انجمنهای مجازی گرفته تا مبادلات میان دولت و ملتها گسترش یافته است.همه این موارد باعث شده تا این مبحث به عنوان مهمترین مسئله و دانش روز مطرح شود ودغدغه بنیادین کشورهای توسعه نیا فته ویا در حال توسعه باشد زیرا اینگونه کشورها می دانند با کوچکترین کوتاهی در این زمینه به زودی و به طور کامل از میدان تجارت جهانی کنار رفته همین بهره اندک خود را نیز به کشور های توسعه یافته صنعتی که همگام با این تجارت نوین گام برداشته اند خواهند سپرد.
تاریخچه
استفاده از فناوری الکترونیکی در انجام امور بازرگانی پیشینه ای نسبتا طولانی دارد در حقیقت نیاز به تجارت الکترونیکی از تقاضاهای بخشهای خصوصی و عمومی برای استفاده از تکنولوژی اطلاعات به منظور کسب رضایت مشتری و هماهنگی موثر درون سازمانی نشأت گرفته است .می توان گفت این نوع تجارت از حدود سال 1965 آغاز شد که مصرف کنندگان توانسته اند پول خود را از طریق ماشینهای خود پرداز (ATM) دریافت کرده و خریدهای خود را با کارتهای اعتباری انجام دهند .پیش از توسعه تکنو لوژی مبتنی بر اینترنت در سالهای آغازین دهه 90 شرکتهای بزرگ دست به ایجاد شبکه های کامپیوتری با ارتباطات مشخص محدود و استاندارد شده برای مبادله اطلاعات تجاری میان یکدیگر زدند.این روش مبادله الکترونیکی EDI نامیده شد. در آن سالها لفظ تجارت الکترونیکی مترادف با مبادله الکترونیکی دادها بود .ایجاد وتوسعه و پیشرفت زیر ساختها و کاربردهای تجارت الکترونیک گردید .از نظر استادان جهش تکنولوژی اطلاعات دو دوره بیست ساله را پشت سر گذاشته و اکنون وارد دوره سوم شده است.
1995- 1974 میلادی : عصر پردازش الکترونیکی داده ها ، 1975- 1994 میلادی : عصر سیستمهای اطلاعاتی مدیریت ، 1995- 2014 میلادی:عصر اینترنت.
هر بیست ساله امکانات تجارت الکترونیکی را متناسب با توانایی های تکنولوژی اطلاعاتی آن عصر فراهم آورده است.در حالی که ماشینهای خود پرداز و کارتهای اعتباری در عصر بیست ساله نخست به جریان افتادند .در عصر دوم امکانات استفاده از مبادله الکترونیک داده ها سیستم بانکی بین المللی و انتقال وجه الکترونیکی فراهم شد.اما توسعه الکترونیک و کار برهای تجاری آن باعث تحول اساسی در این روند تکاملی تجارت الکترونیکی سنتی و نوع اینترنتی آن تمایز محسوسی قائل شد.
تعریف تجارت الکترونیک
تعامل سیستم های ارتباطی COMMUNICATION ، سیستم های مدیریت اطلاعات DATA MANAGEMENT و امنیتSECURITY که به واسطه آنها امکان مبادله اطلاعات تجاری در رابطه با فروش محصولات و یا خدمات میسر می گردد.
بنا بر تعریف، اجزا اصلی الکترونیک عبارتند از:
1.COMMUNICATION (سیستمهای ارتباطی)2.DATA MANAGEMENT (سیستمهای مدیریت داده ها)
3.SECURITY (امنیت)
امنیت در بر قراری تجارت الکترونیکی موفق شامل مراحل زیر میباشد:
1- امنیت میزبان (securitry Host) 2- امنیت سیستم عامل (Os sercuritry)
3- امنیت سرویس دهنده وب (securitry web serer) 4- امنیت شبکه (Network securitry)
5- ابزارهای ضد ویروس (Antirirus Tools)6- دیوارهای آتش (Firewalls)
7- یک خط مشی توام با آموزش (Securitry Policy)
امنیت میزبان:
سطح میزبان در مدل امنیت لایه بندی شده، مربوط به ابزار منفرد مانند سرورها، کامپیوترهای شخصی، سوئیچ ها، روترها و غیره در شبکه است. هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند، می توانند سوراخ های امنیتی نفوذپذیری ایجاد کنند. این پارامترها شامل تنظیمات رجیستری، سرویس ها، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزارهای مهم می شود.
امنیت شبکه:
امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
1- شناسایی بخشی که باید تحت محافظت قرار گیرد.
2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3-تصمیم گیری درباره چگونگی تهدیدات
4-پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
Firewall:
ديوار آتش سيستمي است كه در بين كاربران يك شبكه محلي و شبكه بيروني (مثلاً اينترنت) قرار مي گيرد و ضمن نظارت بر دسترسي ها، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد.
انواع دیواره های آتش
1-دیواره های آتش هوشمند
2- دیواره های آتش مبتنی بر پروکسی
دیواره های آتش هوشمند
امروزه حملات هکرها تکنیکی و هوشمند شده است به نحوی که با دیواره های آتش و فیلترهای معمولی که مشخصاتشان برای همه روشن است نمی توان با آنها مقابله کرد. بنابراین باید با استفاده از دیواره های آتش و فیلترهای هوشمند با آنها مواجه شد.از آنجا که دیواره های آتش با استفاده از حذف بسته ها و بستن پورت های حساس از شبکه محافظت می کنند و چون دیواره های آتش بخشی از ترافیک بسته ها را به داخل شبکه هدایت می کنند، (چرا که در غیر این صورت ارتباط ما با دنیای خارج از شبکه قطع می شود)، بنابراین هکرها می توانند با استفاده از بسته های مصنوعی مجاز و شناسایی پورت های باز به شبکه حمله کنند. بر همین اساس هکرها ابتدا بسته هایی ظاهراً مجاز را به سمت شبکه ارسال می کنند.یک فیلتر معمولی اجازه عبور بسته را می دهد و کامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را می دهد. بنابراین هکر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن کامپیوتر هدف اطمینان حاصل می کند. برای جلوگیری از آن نوع نفوذها دیواره آتش باید به آن بسته هایی اجازه عبور دهد که با درخواست قبلی ارسال شده اند.حال با داشتن دیواره آتشی که بتواند ترافیک خروجی شبکه را برای چند ثانیه در حافظه خود حفظ کرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد می توانیم از دریافت بسته های دیواره های آتش هوشمند فقط نقش ایست بازرسی را ایفا می کنند و با ایجاد ارتباط بین کامپیوترهای داخل و خارج شبکه کاری از پیش نمی برد. اما دیواره های آتش مبتنی بر پروکسی پس از ایجاد ارتباط فعالیت خود را آغاز می کند. در این هنگام دیواره های آتش مبتنی بر پروکسی مانند یک واسطه عمل می کند، به نحوی که ارتباط بین طرفین به صورت غیرمستقیم صورت می گیرد. این دیواره های آتش در لایه سوم دیواره آتش عمل می کنند، بنابراین می توانند بر داده های ارسالی در لایه کاربرد نیز نظارت داشته باشند.
دیواره های آتش مبتنی بر پروکسی باعث ایجاد دو ارتباط می شود:
۱ - ارتباط بین مبدا و پروکسی
۲ - ارتباط بین پروکسی و مقصد
حال اگر هکر بخواهد ماشین هدف در داخل شبکه را مورد ارزیابی قرار دهد در حقیقت پروکسی را مورد ارزیابی قرار داده است و نمی تواند از داخل شبکه اطلاعات مهمی به دست آورد.
دیواره های آتش مبتنی بر پروکسی به حافظه بالا و CPU بسیار سریع نیاز دارند و از آنجایی که دیواره های آتش مبتنی بر پروکسی باید تمام نشست ها را مدیریت کنند گلوگاه شبکه محسوب می شوند. پس هرگونه اشکال در آنها باعث ایجاد اختلال در شبکه می شود. اما بهترین پیشنهاد برای شبکه های کامپیوتری استفاده همزمان از هر دو نوع دیواره آتش است. با استفاده از پروکسی به تنهایی بارترافیکی زیادی بر پروکسی وارد می شود. با استفاده از دیواره های هوشمند نیز همانگونه که قبلاً تشریح شد به تنهایی باعث ایجاد دیواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع دیواره آتش به صورت همزمان هم بار ترافیکی پروکسی با حذف بسته های مشکوک توسط دیواره آتش هوشمند کاهش پیدا می کند و هم با ایجاد ارتباط واسط توسط پروکسی از خطرات احتمالی پس از ایجاد ارتباط جلوگیری می شود.
عملكرد كلی و مشكلات استفاده از ديوار آتش
بسته های IPقبل از ورود يا خروج به شبكه ابتدا وارد ديوار آتش ميشوند و منتظر ميمانند تا طبق معيارهای حفاظتی و امنيتی پردازش شوند. پس از پردازش و تحليل بسته سه حالت ممكن است اتفاق بيفتد:
1- اجازه عبور بسته صادر ميشود (Accept Mode) 2- بسته حذف ميشود (Blocking Mode)
3- بسته حذف شده و پاسخ مناسب به مبدا آن بسته داده شود (Response Mode)
در حقيقت ديوار آتش محلي است براي ايست و بازرسي بسته هاي اطلاعاتي به گونهاي كه بسته ها بر اساس تابعي از قواعد امنيتي و حفاظتي، پردازش شده و براي آنها مجوز عبور يا عدم عبور صادر مي شود.
مبانی طراحی دیواره آتش:
از آنجايی كه معماری شبكه به صورت لايه لايه است ، در مدل TCP/IP برای انتقال يك واحد اطلاعات از لايه چهارم بر روی شبكه بايد تمام لايه ها را بگذراند، هر لايه برای انجام وظيفه خود تعدادی فيلد مشخص به ابتدای بسته اطلاعاتی اضافه كرده و آنرا تحويل لايه پايين تر ميدهد. قسمت اعظم كار يك ديوار آتش تحليل فيلدهای اضافه شده در هر لايه و header هر بسته ميباشد.در بسته اي كه وارد ديوار آتش مي شود به تعداد لايه ها (4 لايه ) سرآيند متفاوت وجود خواهد داشت معمولاً سرآيند لايه اول (لايه فيزيكي يا Network Interface در شبكه اينترنت) اهميت چنداني ندارد چرا كه محتواي اين فيلد ها فقط روي كانال فيزيكي از شبكه محلي معنا دارد و در گذر از هر شبكه يا مسيرياب اين فيلدها عوض خواهد شد. بيشترين اهميت در سرآيندي است كه در لايه هاي دوم ،سوم و چهارم به يك واحد از اطلاعات اضافه خواهد شد.در لايه شبكه ديوار آتش فيلدهاي بسته IP را پردازش و تحليل مي كند.. در لايه انتقال ديوار آتش فيلدهاي بسته هاي TCP يا UDP را پردازش و تحليل مي كند.. در لايه كاربرد ديوار آتش فيلدهاي سرآيند و همچنين محتواي خود داده ها را بررسي مي كند.با توجه به لايه لايه بودن معماري شبكه بنابراین يك ديوار آتش نيز لايه به لايه خواهد بود
لایه اول فایروال:
لايه اول در ديوار آتش بر اساس تحليل بسته IPو فيلد هاي سرآينداين بسته كار مي كند و در اين بسته فيلدهاي زير قابل نظارت و بررسي هستند:
آدرس مبداء وشماره شناسايي يك ديتاگرام وآدرس مقصد و شماره پروتكل وزمان حيات بسته .
مهمترين خصوصيت لايه اول از ديوار آتش آن است كه در اين لايه بسته ها به طور مجزا و مستقل از هم بررسي مي شود و هيچ نيازي به نگه داشتن بسته هاي قبلي يا بعدي يك بسته نيست. به همين دليل ساده ترين و سريعترين تصميم گيري در اين لايه انجام مي شود.
لایه دوم دیوار آتش
در اين لايه از فيلد هاي سرآيند لايه انتقال براي تحليل بسته استفاده مي شود
لايه سوم ديوار آتش
در اين لايه حفاظت بر اساس نوع سرويس و برنامه كاربردي انجام مي شود. يعني با در نظر گرفتن پروتكلي در لايه چهارم به تحليل داده ها مي پردازد. تعداد سرايند ها در اين لايه بسته به نوع سرويس بسیار متنوع و فراوان است. بنابراين در لايه سوم ديوار آتش براي هر سرويس مجاز (مثل سرويس پست الكترونيكي، سرويس ftp، سرويس وب و …) بايد يك سلسله پردازش و قواعد امنيتي مجزا تعريف شود و به همين دليل حجم و پيچيدگي پردازش در لايه سوم زياد است. توصيه مؤكد آنست كه تمام سرويسهاي غير ضروري و شماره پورت هايي كه مورد استفاده نيستند در لايه دوم مسدود شوند تا كار درلايه سوم كمتر باشد.
اگر يك بسته در يكي از لايه هاي ديواره آتش شرايط عبور را احراز نكند همانجا حذف شده و به لايه هاي بالاتر ارجاع داده نمي شود بلكه اين امكان وجود دارد كه آن بسته جهت پيگيري هاي امنيتي نظير ثبت عمل و ردگيري به سيستمي جانبي تحويل داده شود.سياست امنيتي يك شبكه مجموعه اي متناهي از قواعد امنيتي است كه بنا به ماهيتشان در يكي از سه لايه ديوار آتش تعریف مي شوند به عنوان مثال بازرسی های زیر در دیوارآتش بسیار رایج است:
قواعد تعيين آدرس هاي ممنوع در اولين لايه از ديوار آتش
قواعد بستن برخي از سرويسها مثل Telnet يا FTP در لايه دوم
قواعد تحليل سرآيند متن يك نامه الكترنيكي يا صفحه وب در لايه سوم
جایگاه Firewall دریک شبکه
Personal
این نوع فایروال بر روی ایستگاههای کاری نصب می گردد و وظیفه امن نمودن همان ایستگاه کاری را بر عهده دارند
Host Base
این نوع فایروال بر روی سرورهای شبکه نصب می شود و وظیفه امن نمودن سرور خاص را بر عهده دارند
Gate way
این نوع فایروال در مسیرهای اصلی عبور اطلاعات قرار میگیرد و دسترسی های بین شبکه ای را کنترل می نماید.
می توانید با تنظیم هر کدام از موارد زیر به فایروال دیکته کنیدکه چطور عمل کند:
1)نشانی :IPاگر هنگام اداره شبکه محلی خود متوجه شدید که رایانه ای از طریق اینترنت مرتب بهserver شبکه شما وصل میشود و بار ترافیکی زیادی ایجاد می کند،می توانید از فایروال خود بخواهید که به آن رایانه یا نشانی IP مشخص اجازه ورودبه شبکه را ندهد.
2)نام حوزه (Domain name):از آنجا که نشانیIP یک عدد 32بیتی و استفاده از آن راحت نیست،به همه serverها در اینترنت علاوه بر نشانی IP یک نام حوزه اختصاص میدهند.شما می توانید فایروال را طوری تنظیم کنید که رایانه های شبکه محلی بتواند به سایت های خاصی (با نشانی حوزه خاص)دسترسی داشته باشند. یا اینکه به مشخص کردن نام حوزه در فایروال به رایانه های شبکه تان اجازه بدهید که از آن سایت ها دیدن کنند.
3)پورت و پروتکل:پروتکل ، مجموعه قوانین لازم بمنظور قانونمند نمودن نحوه ارتباطات در شبکه های کامپیوتری است فایروال می توانداز طریق شماره پورت های رایانه ها که برای ارتباط با یکدیگر به کار می برند،اطلاعات رد و بدل شده را کنترل کند،همچنین می توان کلمات واصطلاحات خاصی را در بانک اطلاعاتی فایروال مشخص کرد. در اینصورت هنگام وارد یا خارج شدن اطلاعات فایروال محتوای آنها را بررسی می کند و اگر با کلمات خاصی که برایش مشخص کرده ایم روبه رو شوداجازه نمی دهد آن اطلاعات عبورکنند.
امنيت تجارت الكترونيك؛ قابل دسترس، قابل اجرا
نكته بسيار مهم در اينجاست كه روش هاي خاص امنيتي براي حافظت از معاملات اينترنتي چنان سخت گيرانه طراحي شده اند كه مي توان ادعا كرد "ديگر تفاوت چنداني ميان انجام معاملات حضوري و مبادلات الكترونيك باقي نمانده است."
درست به همان نحو كه يك مشتري، اطلاعات شخصي، محرمانه و حساس خود را به صورت رو در رو در اختيار هر فروشنده اي قرار نمي دهد و جوانب امنيتي را به طور كامل حفظ ميكند، در حوزه مبادلات آنلاين نيز نبايد اين اطلاعات را در صفحات، پايگاه ها و نيز سرورهايي كه فاقد مدارك و گواهي نامه هاي خاص امنيتي هستند، وارد كند .
علاوه بر اين، در لايه هاي ارتباطي بالاتر، مدير شبكه خدمات دهنده بايد نهايت دقت و احتياط را در اطمينان از عدم وجود هر گونه كد يا ابزار مخرب (ويروس، تروژان، ابزار هك و ...) و نيز هرگونه آسيب پذيري (حفره ها و نقص هاي امنيتي) به كار برد تا امنيت داده ها و اطلاعات ذخير شده در سرور مورد تهديد قرار نگيرند. همان طور كه بيان شد، بسياري از نرم افزارهاي مخرب مانند تروژان ها با هدف ايجاد آسيب پذيري در سرورها و يا سيستم هاي متصل به آن، تنها از طريق كاربران خانگي و يا ساير شبكه هاي خدمات گيرنده، سازمان هاي ارائه دهنده خدمات آنلاين را تهديد مي كنند. دسترسي هاي غير مجاز در سطوح بالا، سرقت داده هاي حساس و محرمانه و ايجاد خسارت هاي قابل توجه و ... تهديدهاي دائم و شايعي هستند كه از كوچكترين فرصت و باريكترين روزنه استفاده مطلوب مي كنند.
از طرف ديگر، مراجع صدور گواهي نامه هاي ديجيتال، مسئول صدور تأييديه هاي امنيتي براي سرورها و شبكه ها بر اساس پروتكل هاي امنيتي هستند. اين مراكز تصميم گيري مي توانند براي شركت هاي ارائه كننده خدمات الكترونيك، مشتري ها و حتي كاربران عادي اينترنت نيز گواهي نامه هاي ديجيتال صادر كنند.
به عنوان نمونه اي از اين مراجع معتبر مي توان به گروه VeriSign اشاره كرد كه عمده فعاليت هاي امنيتي زيرساخت در اينترنت را به عهده دارد.
نتيجهگيري
با توجه به توسعهء سريع تجارت در جهان و اينكه تجارت ديگر بصورت داخلي نميتواند انجام پذيرد و نيز با توجه به اينكه ايران، جهت حضور فعال در صحنهء جهاني و مجامع بينالمللي مانند سازمان تجارت جهاني و بانك جهاني بايد توان استفاده از فنآوري تجارت الكترونيك را داشته و همچنين با توجه به اين واقعيت كه ايران نيز بايد مانند ساير كشورهاي جهان، استراتژي مشخص و مدوني در خصوص استفاده از تجارت الكترونيك كه از ضروريات تجارت در این قرن ميباشد، داشته باشد
در اين تحقيق شناخت عوامل محيطي مستقيم و غيرمستقيم و تأثير آنها بعنوان مانع در تجارت الكترونيك در ايران و ارائه الگوي مناسب، مدنظر بوده است. در نتيجه پرسشهاي زير انتخاب شدهاند:
1- آيا عوامل محيطي مستقيم (تجار، رقبا، واحدهاي توزيع فيزيكي، مشتريان) در استفاده از تجارت الكترونيك تأثير دارند؟ چقدر؟
2- آيا عوامل محيطي غيرمستقيم (اقتصادي، اجتماعي و فرهنگي، سياسي و قانوني، جمعيتي، تكنولوژيكي) در استفاده از تجارت الكترونيك تأثير دارند؟ چقدر؟
به منظور مطالعه پرسشهاي تحقيق، از دو روش تطبيقي و پرسشنامهاي كه هر دو نتايج مشابهي را نشان ميدادند، استفاده شد و متخصصين داخلي و خارجي بعنوان نمونه انتخاب شدند كه در روش تطبيقي از طريق اينترنت، اطلاعات كشورهاي مختلف كه به نوعي از تجارت الكترونيك بهره ميبردند جمعآوري و بررسي شد. نتايج حاصل از مطالعه پرسشهاي تحقيق بدين گونه بود كه كليه پرسشهاي فرعي در خصوص پرسشهاي اصل اول و دوم در ناحيه قوي و مناسب قرار داشته و تأييد ميشوند.
بخش نخست :بمباران اخبار، اطلاعيه ها و هشدارهاي پي در پي در خصوص مشكلات امنيتي موجود در بانكداري و تجارت آنلاين، رسانه هاي گروهي جهان و مخاطبان آن ها را بيش از خود تهديدهاي امنيتي با سردرگمي مواجه كرده است! به نظر مي رسد جنگ بين امنيت و ضد امنيت پاياني نخواهد داشت و كاربران نگون بخت خدمات اينترنتي، تنها قربانيان اين نبرد محسوب مي شوند؛ درست به اين دليل كه هم مجرمان اينترنتي تا حد زيادي به اهداف خود مي رسند و هم شركت هاي امنيتي، روز به روز بر تجارت و فروش نرم افزارهاي امنيتي خود مي افزايند. شركت هاي ارائه دهنده خدمات آنلاين نيز آنقدر نقدينگي دارند كه حتي ضررهاي هنگفت در نظر ما، براي آن ها كاملاً قابل اغماض باشد.
البته برخلاف بزرگنمايي هاي رسانه اي و تحليل هاي غيرواقعي بسياري از كارشناسان، تهديدهاي امنيتي معاملات الكترونيك به هيچ وجه فلج كننده و غيرقابل كنترل نيستند؛ چرا كه حتي در بدبينانه ترين بررسي ها، از ابتداي تولد جرايم سايبر، مجموع درآمد سالانه مجرمان اينترنتي از چندين ميليون دلار فراتر نرفته است، كه اين مبلغ و حتي چند برابر آن نيز، در مقايسه با گردش جهاني پول كاملاً ناچيز است. به هر ترتيب اغراق و بزرگنمايي مشكلات امنيتي موجود، بي انصافي ست. نبايد اين گونه فكر كرد كه تك تك اعمال، رفتار و فعاليت هاي ما در اينترنت تحت كنترل تبه كاران و ابزار مخرب آن ها قرار دارد. علاوه بر اين، ابزار و نرم افزارهاي امنيتي هم چندان بي كفايت نيستند و قادر به كنترل و انسداد درصد بسيار بالايي از كدهاي مخرب و نفوذهاي غيرقانوني مي باشند و درست به همين دليل تنها درصد محدودي از اقدامات خرابكارانه با هدف سرقت مستقيم يا غيرمستقيم پول به ثمر مي نشينند و اغلب آنها به نحوي خنثي شده و ماهيت مجرمانه خود را از دست مي دهند.
آخرين حلقه زنجير:هيچ دليلي وجود ندارد كه ريسك امنيتي خريد آنلاين از يك فروشگاه معتبر، كمتر از استفاده حضوري از كارت اعتباري و يا وجه نقد در محوطه فيزيكي آن فروشگاه باشد. احتمال اجراي تهديدهاي اينترنتي آنلاين، درست به اندازه اين احتمال است كه شخصي در محل خريد حضوري شما و بدون اين كه متوجه شويد، رمز و شماره كارت اعتباري تان را يادداشت كند و يا حتي خود آن را برداشته و پا به فرار بگذارد...؛ نه بيشتر. تنها تفاوت موجود، محيط انجام معامله است و عدم حضور تهديدهاي فيزيكي و قابل مشاهده .
در مبادلات و معاملات آنلاين احتمال ناديده انگاشتن جوانب امنيتي و عدم رعايت آن، فقط كمي بيشتر از داد و ستدهاي حضوري ست.
در حقيقت مجرمان اينترنتي معمولاً به صورت مستقيم به شبكه هاي سازماني و سرورهاي اطلاعاتي حمله نميكنند؛ بلكه تمام تمام تلاش خود را بر روي آسيب پذيرترين حلقه زنجير متمركز مي كنند... و اين حلقه شكنده چيزي و يا بهتر بنويسم كسي نيست به جز كاربر نهايي. شما هم حتماً تأييد مي كنيد كه دسترسي به اطلاعات حساس و با ارزش سازماني از طريق كاربران خانگي بسيار آسان تر از شكستن لايه هاي مختلف امنيتي، نفوذ به يك پايگاه اطلاعاتي و دسترسي به اطلاعات رمزگذاري شده است.
در اينجا نگاهي مي اندازيم به راهكارها و ملزومات حفاظتي كه هر كاربري براي افزايش امنيت اطلاعات و دريافت خدمات مطلوب در اينترنت، بايد از آن ها آگاه باشد.
ملزومات امنيتي يك صفحه اينترنتي براي ارائه خدمات پولي و تجاري چيست؟
صفحات اينترنتي كه در آن ها مبادلات آنلاين و خدمات حساس مالي يا تجاري انجام مي شود، بايد داراي ملزومات زير باشند:
* تضمين اين مسئله كه داده هاي وارد شده براي انجام مبادلات و يا معاملات الكترونيك، تنها توسط بخش ها يا افراد معيني قابل دسترسي ست. اين مسئله از طريق رمزگذاري انجام مي شود.
* صحت، درستي و عدم نقص اطلاعات درطول عمليات نقل و انتقال؛ به منظور اطمينان از عدم سوء استفاده از اطلاعات حساس. اين مسئله از طريق استفاده از امضاي ديجيتال انجام مي شود.
* و در نهايت، هويت هر دو طرف رابطه تجاري، يعني ارائه دهنده و دريافت كننده خدمات آنلاين، بايد كاملاً واضح و مشخص بوده و مورد تأييد و تصديق قرار گيرد. مدارك هويت ديجيتالي براي رفع نگراني هاي موجود در اين رابطه مورد استفاده قرار مي گيرند.
منابع:
1-تحقيق پيمايش راهنماي عمل، ترجمهء سيدمحمد اعرابي و داوود ايزادي، دفتر پژوهشهاي فرهنگي.
2- اعرابي، سيدمحمد. (1376). روش تجزيه و تحليل تطبيقي در مديريت، دفتر پژوهشهاي فرهنگي.
3- اعرابي، سيدمحمد. (1378). طراحي و تبيين ساختار مناسب براي افزايش كارايي تجاري در ايران، فصلنامهء مطالعات مديريت.، شمارههاي 23 و 24. دانشگاه علامه طباطبائي، پائيز و زمستان.
5- سايتهاي اينترنتي:
http://www.visa.com
http://www.informatic.uni.hildesheim
http://www.ctst.com
http://www.scia.org
http://www.buscom.com
http://www.forrester.com
http://www.ecommerce.gv
http://www.goindstry.com
http://www.fristusa.com
http://www.passport.com
http://www.emag.itgo.com
ستایش یعنی این حسی که دارم
:)