امنیت در تجارت الکترونیک و پرداخت های آنلاین

صفحه 1:


صفحه 2:


صفحه 3:
مقدمه اى بر نقش امنيت در تجارت ‎Se). ols sh: oA 10‏ ترإكنش ها وارتباطات انلاين محلى ‎Nw ‎N ‏بزرکتر برای سر‎ ‎ ‎ ‎ie‏ ل 

صفحه 4:


صفحه 5:
‎Paci‏ لست ‏* اطلاعات فقط و فقط بایستی توسط افراد مجاز قابل ‏دسترسی و تغیبر باشد. ‏* به هنكام انجام كاري ويا دريافت اطلاعات يا سرويسى. انجام دهنده يا كيرنده نتواند آن را انکارکند. ‎ 

صفحه 6:
ارزيابى عمليات تجارت الكترونيك ۳ 3 لت ‎ie ۱ le AS‏ ارت الکنرو ‎SNES eC lew‏ ‎eee‏ ۳ ارت الکترونیک یک ارزیای کامل از 

صفحه 7:
۱)آتش سوزی و انفجار ۲)خرابکاری عمدی در سخت افزار. نرم افزارو یا داده ها و اطلاعات 

صفحه 8:
00ل إن مر سازمان به طور ‎LEDs sar iS‏ ۲ روتدق تزول رؤبه روست. | Pee rete ey ni | eet Pon rt ened 

صفحه 9:
۳- برنامه های آموزشی و آگاه کننده درزمینه امنیت فضاهای مجازی ۴ ایمن سازی فضای ۵- همکاری های بین اطللی و ملی ‎iis‏ امنيت 

صفحه 10:
عدم به روزرسالی اقدامات ‎seal‏ عدم ارتباطات لازم در زمینه مسنوليت هاى امنيق * برخی ازسازمان ها از اهمیت اطلاعات و فایلهای خود بی خبرند. * بسیاری از سازماتها تها به ایمن سازی شبکه کامپیوتری داخلی خود پرداخته و دیگر * برخی ازسازمانها به جای پیشگیری معمولاً زمانی به کنترل مسائل امنیتی می پردازند که مشکلی روی داده باشد . سازماتها به ندرت اقدامات امنيق خود را طبق تغييوات بيش أمده به روزم كتند . آنها همجنين دز بهنگام رسانیاطلاعات کارمندان خود درزمینهاقدامات امنیق نیز ضعیف عمل می کنند > * همواره با مساله امنیق به عنوان یک مشکل ]1 ونه یک مشکل و مساله سازمانی برخورد می شود . 

صفحه 11:
57 بنیق. ل ل ۱۱ و مرحله سازمان به شناسايى كامييوترهاى کلیدی . شبکه های مهم . دارایی ها و بانکهای اطلاعاتی مهم خود پرداخته و آنها را ارزش 7۳۳ مذارى بایه حطرات احتمالی را که ممکن ی ‘ ارزیابی خطرات مرحله شامل شناسایی خطرانه:تواحی آسیی پذیر و تهدید های احتمالی است . (< ن وجوآسایی خطرات و تهدیدات و تقسیم بندی آنها باید برای آنها لیستی از اقدامات پیشگیری را تهیه نمود و از نظر هزینه و اجرا و بياده سازى مقرون به صرفه بودن ,اقدامات را بررسى کرد پس از آن سا ا رت داشته و ازده و مفيد بود, 

صفحه 12:


صفحه 13:
‎ld) aad‏ ی ‎ae ‏ارائه‎ ‏بستر نرم افزاری(سیستم عامل .سرویس دهنده وب ‏رنامه های تحت وب +سرویبی دهتده پانک اطلاعاتی دو..) 0 ‏بانکهای اطلاعاتی بستر سخت افزاری(سرویس دهنده هاء منایع ذخبره ‏سازی و ساختار ‎els‏ آنها) ‏تجارت ‏الکترونیک ‏دریافت ‏انتقال ‎ene‏ مشتریان و کاربران سیستم شامل اشخاص و وسیله بستر دستومی(اینترنت .اینترانت) ارتباطی آها ‏بستر ارسال(پست و انواع مختلف آن) (عمدتا رایانه های شخصی) ‎ 

صفحه 14:


صفحه 15:
این روش وارد کردن دستورها و عباراتی به زبان قابل فهم توسط ‎SQL‏ در قسمتهایی از یک وب سایت است که می توانند مقادیری را به صورت ورودی دریافت کنند. بنابراین هکر میتواند یک دستور را بر روی سرور بانک اطلاعات اجرا کند. که حاصل اجرای این دستور می تواند به دست آوردن اطلاعات کاربران. اطلاعات کارت های اعتباری. جزییات مبادلات انجام شده و... Password ean secant my account| Hale Noten tahon20257 a 

صفحه 16:
عبارت است از فرستادن 56130۴ در فیلد های ورودی به منظور به دست آوردن اطلاعات مهم و با ایجاد تغییر در کدهای ۲۸۲۴۷1 که عمدتاً این روش به دو صورت ذخیره شده و منعکس تقسیم می شود. در هر دو روش حاصل اجرا شدن 5۲1#می تواند منجر به این شود که هکر بتواند اطلاعات نشست احراز هویت شده کاربر با وب سایت مورد نظر را به دست آورد و بتواند خود از آن استفاده کند در واقع هویت خود را جعل و خود را به عنوان کاربر ابراز 

صفحه 17:
همانطور که اسم این روش نشان می دهد عبارت است از دستکاری قیمت. به این صورت كه به هنگام محاسبه قیمت کل به علت ذخیره سازی یکسری از اطلاعات خرید بر روی سیستم مشتری, هکر با استفاده از یک برنامه که بتواند ارتباطات خود و سرویس دهنده را پروکسی کند مانند برنامه (6۱081165/ )می تواند اطلاعات مهمی از جمله قیمت را تغییر دهد که اگر کنترل های لازم در سمت برنامه سرویس دهنده وجود نداشته باشد ضرر مالی این کار متوجه شرکت سرویس دهنده ميشود. 

صفحه 18:
+ همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک. بسیار زیاد دیده می شود. ابن روش خود به دو قسمت حمله های واژه نامه ای و حمله های مبتنی بر آزمایش تمامی عبارات ممکن تقسیم می شود. 

صفحه 19:
این دسته از تهدیدها که می توانند باعث از کار افتادن سیستم شوند به عنوان یکی از مهمترین تهدیدهای سیستم عامل به حساب می آیند. 

صفحه 20:
905 (Denial of Service) این دسته از حملات تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به علت وجود یک ضعف در سیستم باشد و پا به علت حجم بالایی از تقاضاء از جمله بزرگترین معضلات تکنولوئی وجود ضعفهای امنیتی حی باشد. لین ضعفها از چند جهت قلبل بررسی می باشد: یکی از لین جهت که معمولاً لين ضعفها اول توسط تيم هاى هكرى كشف مى شوند و در جهت كارهاى خرابكارانه مورد استفاده قرار مى كيرند. ||| دوم اينكه در برخى از موارد عليرغم انتشار بسته هاى امنيتى ممكن است كه يكسرى از استفاده كنندكان آنها رایا به علت سهل انگاری و یا به علت عدم آگاهی در سرویس دهنده و یا سيستم عامل اعمال نكنند. 

صفحه 21:


صفحه 22:
وقتی دریافت هزینه همزمان با تحوبل کالا در محل مشتری انجام می پذیرد م۳ تواند تهدیدی جدی به حساب آیدچرا که هیچ سیستمی به منطو ار اثبات این شامل فریب دادن کاربران و دریافت اطلاعات کارت اعتباری آنها و با دریافت هزینه ای بیشتر از قیمت کالا با سرویس می 

صفحه 23:
اهضار های متا: 2 3 = x 0 رد 

صفحه 24:
به لین معنی می باشد که لن کاری را که می تولند برای سیستم ایجاد خطر نماید را انجام ندهیم و یا با انجام کاری آن خطر را دور نماییم 

صفحه 25:
۱۳ ee ‏هت‎ Gl Ser 

صفحه 26:
۳ i! تب رکه در سمت کارس قپارر داده جع 

صفحه 27:
سرویس دهندگان؛ زیرا تنظیمات اولیه یا به دلایل سازگاری با نسخه های قبلی و یا استفاده آسان تر از امنیت کافی برخوردار وجود داشته باشد می تواند دارای ضعف های امنیتی باشد. بنابراین هرگونه سرویس, قابلیت. پروتکل و... که مورد نیاز نمی باشند بایستی از سیستم | حذف شوند. 

صفحه 28:
2 :d ‏ا‎ 

صفحه 29:


صفحه 30:
** مى توان با استفاده از روشهای عضو گیری و شناسایی کامل افراد به مشکل دریافت کالا و پرداخت اسخ داد. همچنین به منظور پیشگیری از پنترنتی نیز می توان از شخص سوم مورد تاییدی در جهت احراز هویت دوگانه استفاده نمود. 

صفحه 31:
د 0 رح دی ‎as‏ ار سب ۰ براجرا و ذيكري بررسي 01 ‏صصح‎ ers 

صفحه 32:


صفحه 33:


بن کن ته ی کن نده::بنیی ه ی ته ه نده اسدی اسدی 1 2 مقدمه ای بر نقش امنیت در تجارت 3 تجارت الکترونیک چیست؟ 4  :تعریف امنیت 5 ارزیابی عملیات تجارت الکترونیک 100% 80% Series 3 60% Series 2 40% Series 1 20% 0% Category1 Category2 Category3 Category4 6 طرح مستمر 7 تحقیقات انجام شده درمورد امنیت تجارت الکترونیک 8  DHSچیست؟ 9 مدیریت و کنترل امنیت تجارت الکترونیکی 10 شناسایی دارایی ها و اطالعات مهم ارزیابی خطرات اجرا و پیاده سازی در این مرحله سازمان به شناسایی کامپیوترهای کلیدی ،شبکه های مهم ،دارایی ها و بانکهای اطالعاتی مهم خود پرداخته و آنها را ارزش گذاری می کند .هزینه بدست آوردن اطالعات ،محافظت و پشتیبانی ،هزینه جایگزین کردن دارایی ها و احتمال دسترسی اشخاص ثالث به اطالعات را ارزش گذاری گویند. پس ازشناسایی و ارزش گذاری باید خطرات احتمالی را که ممکن است این دارایی ها و بانک اطالعاتی را تهدید کند ارزیابی کند .این مرحله شامل شناسایی خطرات ،نواحی آسیب پذیر و تهدید های احتمالی است ( .حمالت تروریستی،بدکارکردن سیستم ها ،نقص ساختار بندی سیستم ها،برخی از کارمندان،مهاجمین،افراد سودجو و هکرها). پس از شناسایی خطرات و تهدیدات و تقسیم بندی آنها باید برای آنها لیستی از اقدامات پیشگیری را تهیه نمود و از نظر هزینه و مقرون به صرفه بودن ،اقدامات را بررسی کرد پس از آن سازمان موظف است بر روند کار نظارت داشته و بازده و مفید بودن اقدامات را مورد بررسی قرار دهد. 11 :عوامل دخیل در تجارت الکترونیک 12 حوزه های در بر گیرنده عوامل تجارت الکترونیک 13 :امنیت در تجارت الکترونیک 14 تولید: ‏SQL Injection این روش وارد کردن دستورها و عباراتی به زبان قابل فهم توسط SQLدر قسمتهایی از یک وب سایت است که می توانند مقادیري را به صورت ورودي دریافت کنند .بنابراین هکر میتواند یک دستور را بر روي سرور بانک اطالعات اجرا کند .که حاصل اجراي این دستور می تواند به دست آوردن اطالعات کاربران، اطالعات کارت هاي اعتباري ،جزییات مبادالت انجام شده و... باشد. 15 Cross-Site Scripting )(XSS عبارت است از فرستادن Scriptدر فیلد هاي ورودي به منظور به دست آوردن اطالعات مهم و یا ایجاد تغییر در کدهاي HTMLکه عمدت ًا این روش به دو صورت ذخیره شده و منعکس Uتقسیم می شود. در هر دو روش حاصل اجرا شدن Scriptمی تواند منجر به این شود که هکر بتواند اطالعات نشست احراز هویت شده کاربر با وب سایت مورد نظر را به دست آورد و بتواند خود از آن استفاده کند در واقع هویت خود را جعل و خود را به عنوان کاربر ابراز نماید. 16 Price Manipulation همانطور که اسم این روش نشان می دهد عبارت است از دستکاري قیمت ،به این صورت که به هنگام محاسبه قیمت کل به علت ذخیره سازي یکسري از اطالعات خرید بر روي سیستم مشتري ،هکر با استفاده از یک برنامه که بتواند ارتباطات خود و سرویس دهنده را پروکسی کند مانند برنامه () Achillesمی تواند اطالعات مهمی از جمله قیمت را تغییر دهد که اگر کنترل هاي الزم در سمت برنامه سرویس دهنده وجود نداشته باشد ضرر مالی این کار متوجه شرکت سرویس دهنده میشود. 17 Buffer Overflow مربوط به اشتباه در برنامه نویسی می باشد .می توان این خطر را به دو قسمت تقسیم کرد:یکی افشاء یکسري اطالعات از طریق پیغام هاي خطایی است که سیستم به علت سرریز شدن بافر بر می گرداند که می تواند اطالعات بسیار خوبی را در اختیار هکر قرار دهد و دوم اینکه در برخی از شرایط هکر قادر است با استفاده از این ضعف،دستوري را بر روي سرویس دهنده اجرا کند. ‏Password guessing همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک، بسیار زیاد دیده می شود .این روش خود به دو قسمت حمله هاي واژه نامه اي و حمله هاي مبتنی بر آزمایش Uتمامی عبارات ممکن تقسیم می شود. 18 ارائه: کدهاي مخرب ()…,Worm, Virus این دسته از تهدیدها که می توانند باعث از کار افتادن سیستم شوند به عنوان یکی از مهمترین تهدیدهاي سیستم عامل به حساب می آیند. 19 DOS ()Denial of Service این دسته از حمالت تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به علت وجود یک ضعف در سیستم باشد و یا به علت حجم باالیی از تقاضا. آسیب پذیري سرویس دهنده از جملUه بزرگتریUن معضالت تکنولوژUي وجود ضعفهاي امنیتUی مUی باشد .ایUن ضعفهUا از چنUد جهUت قابUل بررسی مUی باشUد :یکUی از ایUن جهUت کUه معمو ً ال ایUن ضعفهUا اول توسUط تیUم هاي هکري کشUف مUی شونUد و در جهت کارهاي خرابکارانه مورد استفاده قرار می گیرند. دوم اینکUه در برخUی از موارد علیرغUم انتشار بسUته هاي امنیتUی ممکUن اسUت کUه یکسUري از استفاده کنندگان آنها رایا به علت سهل انگاري و یا به علت عدم آگاهی در سرویس دهنده و یا سیستم عامل اعمال نکنند. 2 انتقال: 21 دریافت: می پذیرد می می پذیرد انجام می مشتري انجام محل مشتري در محل کاال در تحویل کاال همزمان بابا تحویل هزینه همزمان دریافت هزینه وقتی دریافت وقتی این اثبات این منظور اثبات به منظور سیستمی به هیچ سیستمی که هیچ چرا که آید چرا حساب آید به حساب جدي به تهدیدي جدي تواند تهدیدي تواند ندارد. وجود ندارد. بوده وجود دهنده بوده سفارش دهنده شخصی سفارش چه شخصی که چه موضوع که موضوع دارد وجود دارد اینترنتی وجود انتقاالت اینترنتی نقل وو انتقاالت در نقل عمده در طور عمده به طور تهدید به این تهدید این سرویس دریافت سرویس کننده دریافت انکار کننده همواره انکار کننده همواره دریافت کننده طوریکه دریافت به طوریکه به باشد. می باشد. کاال می وو یایا کاال اعتباري کارت اعتباري اطالعات کارت دریافت اطالعات کاربران وو دریافت دادن کاربران فریب دادن شامل فریب شامل می سرویس می کاال یایا سرویس قیمت کاال بیشتر ازاز قیمت اي بیشتر هزینه اي دریافت هزینه آنها وو یایا دریافت آنها باشد. باشد. ترفندهایی استقاده ازاز ترفندهایی که بابا استقاده منظور که این منظور به این باشد به می باشد بشر می ذات بشر شدن ذات هک شدن واقع هک در واقع در یابد وو یایا دست یابد خود دست مطلوب خود اطالعات مطلوب به اطالعات تواند به می تواند هکر می بشري هکر ارتباطات بشري در ارتباطات خاص در خاص بکند. کاري بکند. انجام کاري به انجام متقاعد به آنها رارا متقاعد نوعی آنها به نوعی به 2 راهکارهاي مقابله : 2  :اجتناباز خطر 1. به این معنی می باشد که آن کاري را که می تواند براي سیستم ایجاد خطر نماید را انجام ندهیم و یا با انجام کاري آن خطر را دور نماییم خطر 2. :انتقا ل در برخی از شرایط می توانیم خسارت ناشی از یک خطر را به سازمان و یا شرکت دیگري منتقل کنیم .یکی از متداولترین کارها در این زمینه بیمه می باشد. :ک اهشخطر 3. بUه طور مثال با بروز نگه داشتن سیستم عامل خطر هک شدن از طریق ضعفهاي امنیتی سیستم عامل را کاهش می دهیم. :پ ذیرشخطر 4. در شرایطی که هیچگونه از موارد باال تحقق نیابند چاره اي جز پذیرش خطر نیست یعنی آگاهانه می پذیریم که از یک خطري ممکن است متضرر شویم. 2 مفاهیم :امنیتی 2 تولید : 2 ارائه : بUUروز نUUگه 1. داUشUتنهUمیشگی ‏Uحصوالت بUUسیارUي . م از مUشکالتدر اUیUن قUسمتUربوط بUUه م ‏UیبUUذیريهاي آس پ مUحصوالتمUورد اUسUتفادUه UمUیبUUاشد ‏UتهايUیUجاد ا کUUه شUرک کUUننده UآنهUموارUه UبUUه مUنظور بUUر طUرف کUUردUنضUعفهاي مUوجود ،مUحصوالت خUود را بUUا بUUسته هاي اUمUنیتیبUUروز رUسانUی مUیکUUنند .2تنظیم صحیح و ایمن برنامه ها، سیستم عامل و سرویس دهندگان، زیرا تنظیمات اولیه یا به دالیل سازگاري با نسخه هاي قبلی و یا استفاده آسان تر از امنیت کافی برخوردار نیستند. .3هر سرویس اضافه اي که در سیستم ما وجود داشته باشد می تواند داراي ضعف هاي امنیتی باشد. بنابراین هرگونه سرویس ،قابلیت، پروتکل و ...که مورد نیاز نمی باشند بایستی از سیستم حذف شوند. 2 7 انتقال : 2 2 دریافت : می توان با استفاده از روشهاي عضو گیري و شناسایی کامل افراد به مشکل دریافت کاال و پرداخت همزمان هزینه پاسخ داد. همچنین به منظور پیشگیري از کالهبرداري اینترنتی نیز می توان از شخص سوم مورد تاییدي در جهت احراز هویت دوگانه استفاده نمود. 3 راهکارهاي کالن 31 نتیجه 3 3