security in internet shopping
TRANSCRIPT
تجارت در امنیت بررسیاینترنتی الکترونیک) فروشگاه بررسی مورد (موضوع
خسرونیا : فرناز وتنظیم تهیه
سخاوتی : آقای استاد
89زمستان
مقدمهمزایای�ی تمام محل�ی ب�ا آنالی�ن ارتباطات و ه�ا تراکن�ش انجام ، دارد بهمراه الکترونی�ک تجارت ک�ه
. کند می فراهم مجرمانه اعمال حتی و فناوری از استفاده سوء برای بزرگترکاله ت�ا گرفت�ه ویروس�ی حمالت از ، امنی�ت ب�ا مرتب�ط جرائ�م هدف بس�یاری های س�ازمان س�اله ه�رهای کارت �ه�محرمان اطالعات و تجاری �اس�حس اطالعات �رقت�س �ل�قبی از تجاری های برداری
. گیرند م�ی قرار خس�ارات ب�ا اعتباری میزان از مهمت�ر آنچ�ه آمار اینحال ی�ن واقعی�ت ا ای�ن ، اس�ترش�د و اطالعات ب�ه آس�ان دس�ترسی ، اطالعات�ی های س�یستم کاربران افزای�ش ب�ا ک�ه اس�ت ) از ) ه�ا اس�تفاده س�وء ای�ن تعداد ک�ه کرد فرض راحت�ی ب�ه توان م�ی فن�ی مطل�ع کاربران فزاینده
یابد افزای�ش نس�بت همی�ن ب�ه نی�ز امنیت�ی تهدیدهای و از .فناوری الکترونی�ک تجارت س�ایتهایمهم�ی نکت�ه بای�د کنن�د اس�تفاده ه�ا هزین�ه دریاف�ت و کاال فروش برای ک�ه روش�ی ه�ر . از ت�ا مشتریان ک�ه اس�ت واض�ح اس�ت س�ایت امنی�ت برقراری آ�ن و بگیرن�د نظ�ر در رااز هرگ�ز نباشن�د مطمئ�ن مشخص�ات دیگ�ر و خود اعتباری کارت اطالعات امنی�ت
. کرد نخواهند خرید فروشگاه
موضوع معرفی
کاال سفارش جنب�ه از ه�م اس�ت اینترنت�ی فروشگاه ی�ک در امنی�ت بررس�یوتهدیداتی خطرها معرفی و کاال هزینه پرداخت در همچنین کاالو ودریافت
سرویسهای و ه�ا مکانیزم بررس�ی وهمچنی�ن دارد وجود زمین�ه ای�ن در ک�ه . به نگاهی انتها در و نیاز مورد سایت امنیتی در .alibabaامنیت است شده
آنالین فروش سایت در امنیت برقراری
کردن .1. مطرحامنیتی سیاست
از .2 استفادهامنیتی مکانیزم
از .3 استفادهامنیتی سرویس
اینترنتی امنیتسیاست فروشگاه در مطرح ی
توان یامنیتسیاست می مختلفی های جنبه از را الکترونیک تجارت سایت . بیانیک اصلی جنبه سه کرد: از عبارتند
مشخصات. ) 1 ، اعتباری کارت مشخصات ، محرمانه اطالعات مثل سایت و مشتری بین اطالعات تبادلکامپیوتر ( از انتقالشان مسیر در را آنها نتواند اطالعاتی سارق هیچ که باشد نحوی به باید وی آدرس و خریدار
. کند استفاده و خوانده ، دهنده سرویس کامپیوتر تا خریدار
یک. 2 به نه و است کرده خرید آن از که پردازد می سایتی به را پول که کند حاصل اطمینان باید مشتری. کند می ادعا که است چیزی همان کند ثابت باید فروشگاه دیگر عبارت به ، ناشناخته مقصد
کرده. 3 اعالم شده خریداری کاالهای تحویل برای مشتری که آدرسی کند حاصل اطمینان باید فروشگاهاز استفاده با و سارق یک توسط که دیگر ناشناخته مقصد یک نه و است مشتری خود واقعی آدرس است
. است شده اعالم فروشگاه به مشتری مشخصات
اینترنتی فروشگاه در امنیت بررسی مورد های حوزه
تولیدبرنامه های تحت وببانکهای اطالعاتی.......
ارائهبستر نرم
افزاری)سیستم عامل ،سرویس
دهنده وب ،سرویس دهنده بانک
اطالعاتی دو....(بستر سخت
افزاری)سرویس دهنده ها، منابع ذخیره سازی و ساختار ارتباطی
دریافتآنها(مشتریان و کاربران
سیستم شامل اشخاص و وسیله
ارتباطی آنهاعمدتا رایانه های (
)شخصی
انتقالبستر
دسترسی)اینترنت ،اینترانت(
بستر ارسال)پست و انواع مختلف آن(
6
تولید به مربوط تهدیداتآوردن اطالعاتی ب�ه دس�ت ب�ه منظور ای�ن بخ�ش عمدتاً تهدیدات محرمان�ه و ی�ا ایجاد تغییري در س�یستم م�ی باشد. ک�ه نمون�ه این تهدیدات در
این بخش عبارت است از
همانطور که اسم این روش نشان می دهد عبارت است از دستکاري قیمت، به این صورت که به هنگام محاسبه قیمت کل به علت ذخیره سازي یکسري از
اطالعات خرید بر روي سیستم مشتري، هکر با استفاده از یک برنامه که بتواند ارتباطات خود و
سرویس دهنده را پروکسی کند مانند برنامه (Achilles اند اطالعات مهمی از جمله قیمت�می تو)
را تغییر دهد که اگر کنترل هاي الزم در سمت برنامه سرویس دهنده وجود نداشته باشد ضرر مالی این
کار متوجه شرکت سرویس دهنده میشود
Price Manipulation
تولید به مربوط تهدیدات
همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک، بسیار زیاد دیده می شود. این روش خود به دو قسمت حمله هاي واژه نامه اي و حمله هاي مبتنی بر آزمایش
تمامی عبارات ممکن تقسیم می شود.
Password guessing
تولید به مربوط تهدیدات
زبان به عبارات�ی و دس�تورها کردن وارد روش ای�ن توس�ط فه�م وب SQLقاب�ل یک از قس�متهایی در
صورت ب�ه را مقادیري توانن�د م�ی ک�ه اس�ت س�ایت ورودي دریاف�ت کنند. بنابرای�ن هک�ر میتوان�د ی�ک دستور را بر روي س�رور بان�ک اطالعات اجرا کند. ک�ه حاصل اجراي ای�ن دس�تور م�ی توان�د ب�ه دست آوردن اطالعات جزییات اعتباري، هاي کارت اطالعات کاربران،
مبادالت انجام شده و... باشد.
SQL Injection
ارائه به مربوط تهدیداتدیگر موارد و باشد می تکنولوژي ضعف به مربوط مفهوم این در تهدیدها بیشتر
گیرند می قرار بعدي هاي جایگاه .درکدهاي مخرب
(Worm, Virus)…,
کار از باعث توانن�د م�ی ک�ه تهدیده�ا از دس�ته ای�ن مهمترین از یک�ی عنوان ب�ه شون�د س�یستم افتادن
تهدیدهاي سیستم عامل به حساب می آیند.
ارائه به مربوط تهدیدات
این دسته از حمالت تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به علت وجود یک ضعف در
.سیستم باشد و یا به علت حجم باالیی از تقاضا
DOS( Denial of Service)
ارائه به مربوط تهدیدات
از جمل�ه بزرگتری�ن معضالت تکنولوژ�ي وجود ضعفهاي امنیتی م�ی باشد. ای�ن ضعفه�ا از چن�د جه�ت قاب�ل بررس�ی م�ی باشد: یک�ی از ای�ن جه�ت ک�ه معموالً ای�ن ضعفه�ا اول توس�ط تیم هاي هکري کش�ف م�ی شون�د و در جه�ت کارهاي خرابکارانه مورد
استفاده قرار می گیرند.دوم اینکه در برخی از مو�ارد علیرغم انتشار بسته هاي امنیتی ممک�ن اس�ت ک�ه یکس�ري از اس�تفاده کنندگان آنه�ا رای�ا ب�ه علت س�هل انگاري و ی�ا ب�ه عل�ت عدم آگاه�ی در س�رویس دهنده و یا
سیستم عامل اعمال نکنند.
آسیب پذیري سرویس دهنده
انتقال به مربوط تهدیدات بحث مهمترین در جمله از دارد سروکار ارتباطی بستر با تنها که انتقال
: از است عبارت کند می تهدید را آن که خطراتی
قرار استفاده مورد ً بعدا تواند می و شود می خوانده فردی توسط اطالعاتاز. اطالع�ات بودن محرمانه حالت این در فرد، یك حساب شماره مثل گیرد
رود؛ می بین
سمع استراق
انتقال به مربوط تهدیدات
و شود ًعوض كال یا و كند تغییر انتقال هنگام پیام دارد امكانشود فرستاده یابد؛. سپس تغییر تواند می كاال ًسفارش مثال
پیام تغییردادن
انتقال به مربوط تهدیدات
و كرده معرفی سایت یك جای به را خود شخصی است ممكنقابل مقادیر دریافت از پس و كند سازی شبیه را اطالعات همان
گردد ناپدید و نداده خریداران به پاسخی هیچ .توجه
تظاهركردن
دریافت به مربوط تهدیدات . تهدیدات هستیم ارتباط در سیستم کاربران با کلی طور به دریافت مفهوم در
بخش این :در
حمالت از ای امنيتي نمونه
17
Informationsource
Informationdestination
عادي جريان
18
حمالت از ای امنيتي نمونه
Informationsource
Informationdestination
ارتباط قطعپذيري • دسترس به (Availability)حمله
حمالت از ای امنيتي نمونه
19
Informationsource
Informationdestination
سمع استراقمحرمانگي • به حمله
امنيتي حمالت
20
Informationsource
Informationdestination
تغييرجامعيت • به حمله
21
حمالت از ای امنيتي نمونه
Informationsource
Informationdestination
هويت جعلشناسي • هويت به حمله
و • دسترسی قابل مجاز افراد توسط بایستی فقط و فقط اطالعات. باشد تغییر محرمانگی
و • همکاري در مشکل بروز از پیشگیري معناي به تمامیت حفظ. باشد می سیستم یک عناصر داشتن نگه پیوسته یکپارچگی
دسترس • قابل مجاز افراد توسط نیاز هنگام به بایستی اطالعاتباشد.
پذیري دسترس
شخص • سرویسی، یا اطالعات دریافت یا و کاري انجام هنگام به. انکارکند را آن نتواند گیرنده یا دهنده انجام انکار عدم
•. کنیم استفاده دوبار پرداخت یک از نتوانیم مثال تازگی حفظميكنيد • ادعا كه هستيد هماني شما احرازهویت
امنیتی خدمات
22
ایمنی و حفاظت فناوری انواع
از : عبارتند امنیتی های آوری فن مطلوبترینRoutersمسیریاب. 1آتش. 2 های Internet Firewallsدیوارهت�جاوز. 3 کشف های Intrusionسیستم
Detection System 4.Public Key Infrastructure PKI
Authenticationشناسایی. 5Encryptionرمزنگاری. 6
نگاری رمزر: دارد کاربرد زير امنيتی سرويسهای ايجاد در نگاری مز
محرمانگي‹
شناسي ‹ هويت
انكار ‹ عدم
جامع�يت‹
کليد بر مبتنی رمزنگاری روشهای :انواع
: متقارن کليد الگوريتمهای
›. گيرد می انجام کليد يک با برداری رمز و گ�ذاری رمز
کليد بر مبتنی رمزنگاری روشهای :انواع
:) عمومی ) کليد نامتقارن کليد الگوريتمهای
›. دارد خصوصی کليد يک و عمومی کليد يک فرد هر›: کند می عمل زير قوانين اساس بر
D(E(P))=P استنتاجD ازE. است دشوار بسيار بسيارE. کرد کشف گی ساده به توان نمی را و هلمن .RSAدفی ست الگوريتمها اين از ای نموته. ديجيتال امضای در کاربرد
کليد بر مبتنی رمزنگاری روشهای :انواع
الکترونیک پرداخت در امنیت
. یک از کرد نگاه الکترونی�ک پرداخ�ت در امنی�ت موضوع ب�ه توان م�ی دیدگاه دو ازامان در پولشان ک�ه دارن�د دوس�ت الی�ن آ�ن پرداخ�ت انجام زمان در کاربران س�واز شود استفاده بار ی�ک آنه�ا موجود پول از شده ارائ�ه خدمات ی�ا کاال وباب�ت باش�دبه نس�بت پرداخ�ت ی زمین�ه در خدمات�ی های هاوس�ازمان بان�ک دیگ�ر س�ویافراد �شخصی اطالعات و مال�ی مس�ائل خودو وجوه حف�ظ قبال در خود موقعی�ت
. هستند حس�اس
و رمزنگاری ، �گمنامی مانن�د های�ی جنب�ه ً معموال منظ�ر ای�ن unforgeabilityاز ) (�می قرار نظ�ر مدّ امنی�ت ی مس�أله در �س�یس�تم در �تقلب�ی �پول ایجاد در ناتوان�ی
گیرد.
(anonymityگمنامی )
و شخصی اطالعات حف�ظ بر مبن�ی کاربر های خواس�ته مبی�ن ویژگ�ی ای�ن . مع�امله طرفی�ن هوی�ت معامالت از برخ�ی در باشد م�ی وی وهوی�ت خص�وصی . مسأله این به گمنامی شود می گفته گمنامی آن به ک�ه نگردد فاش تواند می
. ندارد وجود فردی هیچ هویت ی افشا و کشف امکان که کند می اشاره
پرداخت
،سنتی و معمول تجارت درو ها کاال خری�د برای مشتریانکارت یا چ�ک نق�د، وج�ه از خدمات؛ کردند م�ی اس�تفاده اعتباری هایخرید برای الی�ن آ�ن اماخریدارانآن ص�ورت ب�ه خدمات و کااله�اهای ازسیستم اس�ت ممک�ن الی�نشده معرفی درادامه که پرداخت
. کنند استفاده
الكترونيك پرداخت در کننده شرکت عوامل
(Payer ) کننده پرداخت(Payee ) کننده دريافت(Issuer ) مشتري کارگزار بانک(Acquirer ) فروشنده کارگزار بانک
الکترونیک پرداخت های روش( اعتباري (Credit Cardكارت
( الكترونيكي چك •E-check )
الکترونیک پرداخت های روش دیجیتال امضای
الکترونیک پرداخت های روش سیستمCyber Cash
ديجيتالي امضاء و اختصاصي و عمومي رمز كليدهاي شامل مايكروسافت سيستم
Ms Back Officeمحصوالت E-Wallet
شركت به است master cardمربوط
ديجيتالي پول
پرداخت در امنیت
تجارت در امنیت نمودن فراه�م جه�ت اص�لی ابزارهاي از یک�ی . گواهی س�یستمی چنین در اس�ت گواه�ی صدور مرج�ع الکترونیکیکامل اعتماد مرج�ع ب�ه وکاربران گردد م�ی ص�ادر کاربر ه�ر براي
دارند.
. استاندارد. xهستند بر مبتنی گواهیها ً 509معموال
Secure Electronic Transaction )SET( کاربرد نمونه ی�ک �و محرمانگی قبی�ل از مس�ائلی ک�ه اس�ت گواه�ی،اس�تاندارداطمینان معامله، طرفی�ن اص�الت احراز داده، انتقال از اطمینان
است شده لحاظ سیستم این در مالی اطالعات تمام تمامیت از
پرداخت در امنیت
تجارت با مرتب�ط اس�تانداردهاي از یک�ی خص�وص در مختص�ري مرور نهای�ت دریعن�ی خواهیم )Secure Electronic Transaction )SETالکترونیک�ی،
اجازه SETداشت. کاربران به ک�ه اس�ت فرمتهایی و پروتکله�ا از اي مجموع�هاستفاده عادي اعتباري ک�ارتهاي از بتوانن�د گس�ترده هاي شبک�ه در ت�ا ده�د م�ی
:SETنمایند . آورد می فراهم را سرویس سه . آورد می فراهم تراکنش یک در درگ�یر افراد بین امن ارتباطی کانال گواهی سوم نسخۀ به توجه . x.509با آورد می بوجود اعتماد. آورد می بوجود را خصوصی حریم حفظ از اطمینان دوگانه امضاي با
)Dual Signature(امضاي دوگانه
د��ر�� ا��م���ن��� پ�ر���د��ا��خ��ت��� پ�ر���و��س����ۀ��� ب�ر���ا��ي�� ت�ج��ا��ر��ي��� ا��ن�د�� SETم���ل��ز���و��م���ا��ت��� ع��ب�ا��ر��ت���ا��ز��
. سفارش اطالعات و پرداخت محرمانگی حفظ. انتقالی هاي داده تمامیت حفظ. کارت صاحب هویت احراز حفظ تکنیکهاي ب�هترین همچنین و امنیتی ابزارهاي بهترین از استفاده از اطمینان
. تجاري انتقاالت در درگیر افراد کلیه از حفاظت جهت سیستم طراحی از استفاده کردن محدود بدون مستقل امنیتی پروتکلهاي از استفاده
از ) توان می ً مثال (.ssl ,ip secدیگرپروتکلها نمود استفاده نیز. شبکه دهندگان سرویس و افزارها ن�رم بین متقابل عملکرد امکان آوردن بوجود
SETس�یستم در درگی�ر دلیل SETافراد ب�ه ک�ه ان�د شده داده نمای�ش زی�ر شک�ل در
. گردند می حذف عناصر وظایف شرح مقاله سایز در محدودیت
بابا علی سایت در امنیت
معروف سایت باب�ا عل�ی س�ایتb2b در بسیاری امنیت�ی امکانات اس�ت
از نمونه ب�ه ک�ه اس�ت برقرار س�ایت. کنیم می اشاره آنها
بابا علی سایت در خریداران برای دسترسی اجازه و هویت اهراز
کامال سرویس ای�ن خری�د برایدر عضویت برای است، رایگان
فرم در رایگان سرویس ای�ندر Buyerاول کنید انتخاب را
شما از بعدی ص�فحه حال�ت ای�نسایر و کاربری اطالعات
کند می درخواست را اطالعاتو کاربری شناسه ی�ک بای�د ک�هانتخاب خود برای عبور رمزخواسته اطالعات س�ایر و کنی�د . کنید وارد کامل بطور را شده
دکمه روی بر Next Stepو . کنید کلیک
بابا ع�لی سایت در خریداران برای دسترسی اجازه و هویت اهراز
که کند می ارسال شم�ا الکترونیک�ی پس�ت آدرس به پیغ�ام یک بابا عل�ی سایتآدرس صحت کردن چ�ک و س�رویس کردن فعال جه�ت لین�ک ی�ک پیعام ای�ن در . کنید بازدی�د را خود می�ل ای مرحل�ه ای�ن در دارد وجود شم�ا الکترونیک�ی پس�ت . کار این از بع�د شود فعال شم�ا س�رویس ت�ا نمائی�د کلی�ک لین�ک ای�ن روی بر و
لین�ک روی بر و شوی�د باب�ا عل�ی س�ایت . My Alibabaوارد شناسه کنید کلی�ک. شوید سایت وارد و کنید وارد را عبور رمز و کاربری
انکار عدم یکپارچگی و امنیت حفظ
قق یکپارچگی و امنی�ت حف�ظ برایوجود افزارهایی نرم س�ایت درو تجارت در تقلب ک�ه �دارن�درا تقلبی های ایمی�ل حت�یبخشی وحت�ی مکنن�د شناس�اییمی مشتریان ک�ه داده قرار راسایت در مشک�وک موارد توانن�دآن ب�ه آنه�ا �دهن�د گزارش را . درصورت و کنند م�ی رس�یدگی
به را آ�ن افزار dbص�حت نرممواقع ودر کرده اضاف�ه خودخود مشتریان به ضروری
alert. میدهند
بابا علی سایت در امنیت
میکند معرفی بخش این در را مختلفی امنیتی های سرویس
بابا علی سایت در پرداخت
طریق از که سایت این در امن ( gatewayیک ) papalپرداخت سرویس یا استescrow. میشوند معامله خطر کاهش باعث که شود می انجام
ها فروشنده
های شرکت و ثالث شخص توسط ها فروشنده هویتمیشود . تایید معتبر