به کارگیری فناوری اطلاعات در یک شبکه ارتباطی برای ارائه خدمات مورد نیاز همراه با خطرات امنیتی متعددی می ابشد به عنوان مثال می توان کاربرد خرید الکترونیکی در یک محیط کامپیوتری را مد نظرقرار داد.

(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))

سه مولفه اصلی برای ارائه چنین خدماتی شامل کاربران انسانی، ماشین ها، و فرآیندهای کامپیوتری می باشند. این سه مولفه که تعریف آنها ذیلا ارائه می گردد با عنوان عنصر نیز نامیده می شوند
کاربر: موجودتی است که در قبال فعالیت های خود در تعامل با کامپیوتر یا شبکه ارتباطی مسئول و جوابگو است.
ماشین: موجودیتی دارای آدرس است که در یک شبکه کامپیوتری ( یا سیستم توزیع شده) توسط یک نام و یک آدرس خاص در شبکه ادرس دهی می شود.
فرایند: عملیاتی است که روی ماشین ها اجرا می شود. معمولا با بهره گرفتن از مدل کلاینت/ سرور فرآیندهای سمت کلاینت و سرور را از هم تشخیص می دهد.
۴-۱۷-۳-نفوذگران و اهداف حمله به سیستم های کامپیوتری
نفوذگران افرادی هستند که با امیال و اهداف مختلف شبکه های کامپیوتری را هدف قرار میدهند. ذیلا برخی از این اهداف مورد بررسی قرار میگیرند:
اهداف سیاسی: نخبگان سیاسی ممکن است طعمه مناسبی باشند. نفوذگران اطلاعات آن ها را تغییر داده و مطالبی را جایگزین می کند تا شخصیت سیاسی آنها آسیب ببیند.
اهداف تروریستی: اطلاعات سازمانهای اقتصادی، امنیتی و انظامی اهداف خوبی برای تروریستها و آنهایی که قصد دارند امنیت ملی کشورها را خدشه دار کنند، می باشد.
کسب درآمد: اطلاعات ارزشمند یک مرکز ممکن است افرادی را برای سرقت و فروش آن وسوسه کند. به عنوان مثال در جنگ اول خلیج فارس چند فرد هلندی به مراکز نظامی امریکا نفوذ کرده و اطلاعات زیادی از آن بدست آوردند که قصد فروش آن را به رژیم عراق داشتند اما به علت بی اعتمادی دو طرف، معامله صورت نگرفت.
بازی و سرگرمی: عده ای ممکن است به خاطر تفریح و سرگرمی و یا امراض روانی و کسب شهرت به شبکه ها نفوذ کنند.
شناسیایی امنیتی: نفوذ به منظور شناسایی ویژگیهای امنیتی سیستم های کامپیوتری و ارزیابی نقاط ضعف را شامل می شود.
رقابت اقتصادی: رقبای اقتصادی برای دزدیدن اطلاعات و یا از کاراندازی شبکه ممکن است به نفوذ و اختلال در شبکه اقدام کنند. در کار تجاری از کار افتادن شبکه برای مدت زمان کمی نیز ممکن است مشتریان آن را به شرکت رقیب هدایت کند.
۴-۱۷-۴-دسته بندی تهدیدات امنیتی
هر عملی که امنیت اطلاعات را به مخاطره افکند تهدید امنیتی محسوب می شود. تهدیدات یا حملات را می توان در دو دسته کلی ذیل قرار داد:
تهدیدات غیرفعال
تهدیدات فعال
درتهدید غیر فعال مطابق شکل ۱-۷ اطلاعات به صورت غیر مجاز دریافت شده و تغییر مشهودی شبیه حذف یا تکرار و غیره در آن مشاهده نمی شود. به عبارت بهتر استراق سمع انجام می پذیرد. بدین ترتیب همان طور که در کشل آمده است اطلاعات از منبع به سوی مقصد منتقل می شود و مزاحم به شیوه غیر فعال سیستم را تهدید می کند.
به عنوان مثال این تهدید می تواند از طریق کشف کلید رمز اطلاعات و بهره برداری غیر مجاز از اطلاعات و یا از طریق تحلیل ترافیک اطلاعات صورت پذیرد. ردیابی چنین تهدیدی به علت عدم تغییر در اطلاعات مشکل است. برای جلوگیری از چنین تهدیدی باید به گونه ای پیام را محرمانه نمود تا دشمن امکان بهره برداری از آن را نداشته باشد و کلید رمز پیام را نیز از دسترس دشمن محافظت نمود.
در این نوع تهدید موضوع بررسی اعتبار یا صحت پیام مهم خواهد بود.
برای جلوگیری از تهدیدات فعال و یا غیر فعال مطابق شکل ۳-۷ می توان از رمزگذاری پیغام به کمک یک کلید استفاده کرد به گونه ای که پیغام از کانال ناامن ولی کلید از کانال یا محیطی امن منتقل گردد. به عبارت بهتر پیام m از طریق رمز کننده مورد نظر و باکلید kرمز شده و نتیجه آن متن رمز شده cخواهد بود که در سمت گیرنده با عملیات معکوس و با داشتن همان کلید رمزگشایی انجام می شود.
۴-۱۷-۵-دسته بندی دیگری از تهدیدات امنیتی
از سوی دیگر حملات یا تهدیدها را می توان در یک طبقه بندی جزئی تر به صورت زیر قرارداد:
الف- استراق سمع: به معنی استفاده غیرمجاز از پیغام هایی است که برای عناصر دیگری ارسال شده است.
ب- تغییر قیافه: ارسال یا دریافت پیغام ها در لباس یا هویت عنصر دیگری را می گویند.
ج- مداخله در پیغام: به معنی دستگاری پیغامی که برای دیگران ارسال شده است.
ارسال مجدد: به معنی استفاده از پیغام های قبلی و ارسال مجدد آنها برای نیل به امتیازات کاذب. به عنوان مثال پیامی با این محتواکه مبلغ ۱۰۰ دلار به حساب فرد الف واریز کنید از سوی فرد مجاز برای یک بانک ارسال می گردد. و فرد الف این پیغام را ضبط کرده و چندین بار دیگر با همان شکل و محتوا ارسال نماید.
ه- نفوذ: به معنی استفاده نادرست از یک مجوز برای نیل به مقاصد عنادآمیز است.
و- تحلیل ترافیک: به معنی تحلیل حجم اطلاعات ارسالی در مسیر و بهره برداری از نتایج آن برای کارهای غیر مجاز.
ز- امکان تکذیب سرویس: به معنی جلوگیری از دسترسی به خدمات مجاز برای عناصر مجاز. به عنوان مثال با ارسال ایمیلهای متعدد و بسیار زیاد سعی کنیم تا سرور ایمیل را از کار بیندازیم.
۴-۱۸-موضوعات مهم امنیتی در تجارت الکترونیکی
مقوله امنیت تجارت الکترونیکی، بسیار مهم تر از پرداختن به مزاحمین و مقابله با مجرمین الکترونیکی است. به عنوان مثال، کاربری را در نظر بگیرید که از طریق اینترنت به یکی از سرورهای وب در سایت های بازاریابی متصل شده است. از کاربر خواسته می شود تا برای دستیابی به اطلاعات مورد نظر وی، فرم های خاص مربوط به اطلاعات و مشخصات فردی را پرکند. در این شرایط، چه سوالات امنتی باید پرسید؟
از دیدگاه کاربران این سوالات می تواند شامل موارد زیر باشد:
کاربران چگونه می توانند از مالکیت و اجرای وب سرورها توسط شرکت های قانونی اطمینان حاصل کنند؟
کاربران چگونه اطمنینان حاصل می نمایند که صفحات وب از برخی کدها و یا محتوای خطرناک درست نشده اند؟
کابران چگونه از حفظ اطلاعات خصوصی خود در سایت ها و عدم افشای آن به دیگران اطمینان حاص کنند؟
از دیدگاه شرکتها این سوالات می تواند شامل موارد زیر باشد:
چگونه شرکتها اطمینان حاصل کنند که کاربران تلاشی برای نفوذ به وب سرورها نداشته و یا محتوای آن را تغییر نمی دهند؟
شرکت ها چگونه اطمینان حاصل کنند که کاربران قصد ایجاد مزاحمت در سرورها را به گونه ای که دستیابی برای سایر کاربران دشوار شود ندارند؟
از دیدگاه شرکت ها و کاربران:
شرکت ها و کاربران چطور اطمینان حاصل کنند که شخص ثالثی به انجام شنود روی خط نمی پردازد؟ به عبارت بهتر استراق سمع انجام نمی پذیرد.
شرکت ها و کاربران چطور اطمینان حاصل کنند که تبادل اطلاعات میان سرور و مرورگر کاربر به طور کامل صورت گرفته و تغییری در آن به وجود نیامده است.
این سوال ها، انواع اقدامات امنیتی را که ممکن است در تبادلات الکترونیکی صورت گیرد، نشان می دهد. در تبادلاتی که پرداخت های الکترونیکی در آن نقش دارند. به سایر مسائل امنیتی باید توجه داشت. کدر زیر به برخی از مسائل امنیتی که ممکن است در تجارت الکترونیکی روی دهد، اشاره شده است.
۴-۱۸-۱-احراز هویت: زمانی که کاربران یک صفحه وب را مشاهده می کنند، از کجا باید اطمینان حاصل کنند که وب سایت و محتویات آن درست بوده و فریب کارانه نیست؟ زمانی که صفحه مربوط به پرداخت مالیات به یک کاربر فرستاده می شود و وی اقدام به پرداخت آن می کند. فرد باید از کجا اطمینان حاصل کند که مبلغ پرداخت شده به دست اداره مالیات خواهد رسید؟ اگر یک فرد ایمیلی را از شخصی دیافت کند، از کجا می تواند اطمینان حاصل نماید که فرد فرستنده همان فردی است که ادعای فرستادن پیام را داشته است؟ ماهیتی که می تواند ممنبع و شخص ارسال کننده اطلاعا را تایید کند، منبع احراز هویت نامیده می شود. باری احراز هویت باید به شواهدی معتبر مانند رمز یا کدی که یک شخص می داند نظیر رمزهای عبور، موارد شخصی ماننند کارتهای هوشمند و یا عوامل منحصر به فرد مانند امضا دست یافت.
۴-۱۸-۲-تعیین حق دسترسی: آیا پس از احراز هویت، یک فرد یا برنامه می تواند به داده ها و برنامه های خاص و یا منابع سیستم نظیر فایل ها، دایرکتوری ها، اطلاعات ثبت شده و غیره دسترسی یابد؟ تعیین حق دسترسی اطمینان می دهد که کدام فرد یا برنامه حق دسترسی به کدام یک از منابع را دراد. تعیین حق دسترسیی معمولا با مقایسه اطلاعات درباره فرد یا برنامه با اطلاعات کنترل دستیابی مربوط به منبع مورد نظر، تایید می شود.