پژوهش های انجام شده درباره : بررسی سطح امنیت در تجارت الکترونیک (مورد مطالعه شرکت های ... |
مدل دولت با مشتری[۳۹]
در این مدل دولت خدمات و سرویسهای خود را به مشتریان و افراد جامعه میفروشد. در مدل دولت به شهروند، ارائۀ خدمات دولتی به صورت رایگان میباشد.
مدل دولت به شرکت و برعکس[۴۰]
این مدل رابطۀ دولت با شرکتهای خصوصی را بیان مینماید. در این مدل دولت می تواند سریسهای خودش را به شرکتهای خصوصی بفروشد یا خدمات را از آنها بخرد.
نوع مدل
تعریف مدل
مدل تجارت مبتنی بر مکان[۴۱]
تجارت سیاری است که افراد را در یک زمان یا مکان خاص مورد هدف قرار میدهد.
مدل تجارت سیار[۴۲]
در این مدل بخشی از فعالیتهای تجارت الکترونیک یا کل فعالیتهای آن از طریق شبکه های بیسیم انجام می شود، نمونۀ آن استفاده از تلفن همراه برای انجام امور بانکی میباشد.
مدل نظیر با نظیر[۴۳]
این مدل، تکنولوژی است که امکان به اشتراک گذاری داده و پردازش آن را برروی رایانههای همسان و در شبکه فراهم می کند. این فناوری را میتوان در مدلهای B2B، B2C و C2C استفاده کرد و نمونه ای از آن شامل تبادل الکترونیکی فیلم، نرم افزار و کالاهای دیجیتالی دیگر است.
باتوجه به مطالب ذکر شده در بالا میتوان بیان کرد که فناوری اطلاعات نقش برجستهای در کسب و کار امروزی ایفا میکند و باید در نظر داشت که در صورت موفقیت در این عرصه، مزایای حاصل از تجارت الکترونیک بسیار بیشتر از هزینههای آن خواهد بود، لذا ضروری است که پیش از ورود و فعالیت در زمینۀ تجارت الکترونیک، الزامات و زیرساختهای ضروری به منظور پیاده سازی آن را مد نظر قرار دهیم، در این راستا میتوان گفت که یکی از مباحث ضروری، موضوع امنیت است که در ادامه به بررسی آن میپردازیم.
۲-۲) امنیت
با پیشرفت سریع فناوری اطلاعات و جایگزینی تجارت آنلاین (تجارت از طریق اینترنت) با تجارت سنتی، مسائل مربوط به امنیت، به ویژه برای کسب و کارها در محیط تجارت الکترونیک، اهمیت یافته است. با توجه به نقش محوری فناوری اطلاعات[۴۴] در شرکتهای امروزی و اهمیت اطلاعات به عنوان دارایی های ارزشمند یک سازمان، امنیت اطلاعات به یکی از مؤلفه های کلیدی مدیریت و برنامه ریزی، در شرکتهای مدرن تبدیل شده است. البته موضوع امنیت داده و اطلاعات، پیش از اختراع کامپیوتر نیز مطرح بوده و با گذشت زمان بر اهمیت آن افزوده گردیده است. از آنجایی که معاملات الکترونیک، در حال جایگزینی با معاملات مبتنی بر کاغذ هستند و بیشتر داده ها و اطلاعات ارزشمند، در یک رسانۀ الکترونیکی ذخیره میشوند، میتوان گفت این موضوع نیز مفهوم جدیدی نیست، اما در عصر دیجیتال اهمیت بیشتری
یافته است (بیسواز[۴۵]، ۲۰۱۱). کرونین (۱۹۹۵)، بر این باور است که مسائل خصوصی، مانند امنیت، سانسور و استراق سمع می تواند ارتباطات را سست نماید، درنتیجه میتوان امنیت را به عنوان پایهای برای یکپارچگی و رشد کسب و کار الکترونیکی به شمار آورد (کرونین ۱۹۹۵، به نقل از آلجفری، پونز و کالینز[۴۶]، ۲۰۰۳).
در بیان تعریف امنیت میتوان گفت که امنیت، به مجموعۀ تدابیر، روشها و ابزارها برای جلوگیری از دسترسی و تغییرات غیرمجاز در نظام رایانهای اطلاق می شود و امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن خطر افشای آنها در بخشهای غیرمجاز اشاره دارد. از این رو استانداردهای امنیتی به دو دستۀ اصلی تقسیم میگردند: دسته اول، مرتبط با امنیت از لحاظ فنی و دسته دوم مرتبط با امنیت از لحاظ مدیریتی است (قاسمی شبانکاره و همکاران، ۱۳۸۶). از سوی دیگر تهدید امنیتی، به شرایط، موقعیت یا رویدادی اطلاق می شود که به طور بالقوه می تواند عامل مشکلات اقتصادی برای منبع داده ها یا شبکه، در حالت تخریب، افشا، ویرایش داده ها، محرومیت از خدمات یا تقلب و سوء استفاده باشد (بلانگر و همکاران، ۲۰۰۲). البته در کنار مباحثی مانند تهدید امنیتی، ایمنسازی نیز مطرح است که شامل کلیۀ رفتارهایی است که برای تبدیل شرایط موجود به شرایط امن، یا مراقبت از تداوم امنیت انجام می شود. با توجه به روشهای حفاظت و تشخیص، میتوان دو رویکرد کلی را در فرایند ایمنسازی شناسایی کرد:
ایمنسازی پیشینی: معتقد است که پیش از بروز هرگونه خطر، باید تمام راههای محتمل برروی آن بسته شود.
ایمنسازی پسینی: در این دیدگاه خطرات و تهدیدات را تا مادامی که فعال نشدهاند، نادیده میگیرد و در انتظار بروز مقدمات یک حادثۀ واقعی است. در صورت بروز چنین علائمی، سیستم حفاظتی به طور واکنشی برای جلوگیری از نقض امنیت فعال می شود (جعفری، ۱۳۸۵).
با این تعاریف، یک سیستم امنیتی میبایست برای کاربردهای تجاری طراحی گردد. البته بیشتر اجزای زیربنایی، برای حفاظت از کاربردها میباشند؛ بنابراین، برنامۀ امنیتی سازمان باید چندین لایۀ مختلف حفاظت، بین حمله کنندگان بالقوه، داده ها و سیستمهای مهم داشته باشد. تصمیمات امنیتی در همۀ سطوح سازمان صورت میگیرد؛ در سطوح تاکتیکی و عملیاتی یک سازمان، تصمیم گیری برروی بهینهسازی منابع امنیتی تمرکز دارد و آن ترکیبی جامع از برنامه های کارکنان، رویه ها، رهنمودها و تکنولوژیهایی است که میزان از دست دادن و خسارت را به حداقل میرسانند (اندرسون و چوبینه[۴۷]، ۲۰۰۸).
از سوی دیگر در حوزۀ پیادهسازی یک سیستم امنیتی، بحث مدیریت امنیت مطرح میگردد؛ در این بحث، به استانداردهایی از جمله ISO17799، اشاره می شود که این استانداردها توضیح می دهند که در مدیریت امنیت اطلاعات، باید چه اصولی مورد توجه قرار بگیرد. اما مشکل مکرر در این گونه استانداردها، این است که این استانداردها فرایند هدایت مدیریت امنیت را ارائه نمیدهند و تنها یک چک لیست ارائه می کنند (زوکاتو، ۲۰۰۷).
با توجه به موارد مذکور، در این پژوهش به منظور پوششدهی همۀ جوانب امنیتی در تجارت الکترونیک، امنیت در یک چرخۀ عمر مطرح گردیده است که شامل معیارهای اصلی و زیرمعیار میباشد؛ در این فصل به بررسی آنها میپردازیم و عوامل مطرح در آنها را به طور مختصر تشریح مینماییم. لازم به ذکر است که در این چرخه، چهار معیار اصلی در حوزۀ امنیت تجارت الکترونیک در نظر گرفته شده است که شامل الزامات امنیتی، سیاستهای امنیتی، مشخصات زیرساختهای امنیتی و پیادهسازی و در نهایت تستهای امنیتی میباشد و هریک از این معیارهای اصلی، دارای زیر معیارهایی هستند که مورد بررسی قرار خواهند گرفت.
الزامات امنیتی
نیاز به نگرش جامع در زمینۀ امنیت و همچنین الزامات امنیتی، از دیدگاه وان سولمز (۲۰۰۱)، ناشی می شود؛ او امنیت را یک بحث چند بعدی میداند. زوکاتو (۲۰۰۲)، نیز نگرشی جامع در این زمینه را ارائه نمود، سپس جنبه های مختلف و روابط آنها را در مواجه با ابعاد مختلف امنیت، مورد بررسی قرار داد (وان سولمز، ۲۰۰۱؛ زوکاتو، ۲۰۰۲، به نقل از زوکاتو، ۲۰۰۴). از این رو باید در نظر داشت، نیازهای امنیتی راضی کنندۀ سیستم باید به عنوان الزامات امنیتی در نظر گرفته شوند و برای دستیابی به چارچوبی جامع در این زمینه، باید فرایند جمع آوری الزامات از منابع مختلف، در نظر گرفته شود. در مقالۀ ارائه شده توسط زوکاتو (۲۰۰۴)، تشخیص الزامات توسط منابع کسب و کار، محیط و مدیریت ریسک، پیشنهاد گردید. از آنجایی که فعالیت مهم در مهندسی الزامات امنیتی، گردآوری آنها از منابع مختلف در یک مجموعۀ الزامات است؛ بنابراین برای تشخیص چگونگی امنیت سیستم، باید الزامات بر اساس اهمیت و امکانپذیری طبقه بندی شوند (زوکاتو، ۲۰۰۴، به نقل از زوکاتو، ۲۰۰۷).
در بیان مفهوم الزامات امنیتی، میتوان به دیدگاه پی فلیگر (۱۹۹۱)، در این حوزه اشاره کرد؛ وی الزامات امنیتی را وظیفه/کارکرد یا عملکرد مورد نیاز یک سیستم، به منظور اطمینان از سطح امنیت مطلوب بیان می کند. گروه دیگری که الزامات را تعریف نمودند شامل تترو و همکارانش (۱۹۹۷)، است و آنها بیان نمودند که الزامات امنیتی براساس چشم انداز سازمان در زمینۀ امنیت کلی که در سیاستهای سازمانی توصیف شده است، میباشد. آنها اذعان کردند که الزامات، باید توسط کاربر یا مدیریت، در مسیری که مناسب سازمان است، تعریف شوند. باید در نظر داشت که از طریق فرآیندهای تجاری، دامنۀ کاربرد بسیاری از الزامات امنیتی را میتوان درک نمود و فهم بهتری از الزامات امنیتی بدست آورد (پی فلیگر، ۱۹۹۱؛ تترو و همکاران، ۱۹۹۷، به نقل از زوکاتو، ۲۰۰۴).
در بیان منابع الزامات امنیتی آمده که ریسکها، فرآیندهای تجاری، سهامداران و تقاضای محیطی را میتوان به عنوان منابع الزامات امنیتی در نظر گرفت و با ترکیب این عوامل با یکدیگر، میتوان به مجموعه ای جامع از الزامات دست یافت. لازم به ذکر است که برای یافتن مجموعه ای جامع از الزامات، نه تنها منابع بلکه میبایست وابستگی متقابل آنها را نیز در نظر گرفت. از طرفی منابع، الزامات بیشتری را به خاطر در نظر گرفتن اثر متقابل آنها تولید می کنند، از سوی دیگر موجب ایجاد الزامات متعارض با یکدیگر نیز میشوند؛ بنابراین یک نقطۀ شروع خوب در زمینۀ مدلسازی الزامات امنیتی، می تواند فرموله کردن انتظارات و قید کردن نگرانیها در زمینۀ امنیت محصولات باشد.
زوکاتو (۲۰۰۴)، در مقالۀ خود مدل مراحل تعیین الزامات را ارائه کرد و در آن مراحل را در دو فاز قرار داده است. در فاز اول، هدف پیدا کردن الزاماتی است که در هر منبع قرار دارد که این فاز را مرحله آماده سازی میگویند و در فاز بعدی
که فاز تلفیق نام دارد، هدف رفع تناقض بین الزاماتی است که در منابع مختلف قرار دارند. شکل (۲-۱) مدل مطرح شده توسط زوکاتو را نشان میدهد.
شکل۲-۱ مدل مراحل تعیین الزامات (اقتباس شده از زوکاتو، ۲۰۰۴)
استانداردهای امنیتی برای تعیین الزامات
در توسعۀ قطعی سیستمهای اطلاعاتی، تعیین کیفیت الزامات امنیتی اهمیت دارد. اگرچه این موضوع وظیفه ای سخت محسوب می شود، اما استانداردهایی در زمینۀ امنیت مانند ISO/IEC17799، ISO/IEC13335، ISO/IEC15408، وجود دارد و هریک درجهت رسیدگی به الزامات امنیتی در مسیر چرخۀ توسعۀ سیستمهای اطلاعاتی کمک می کند؛ با این حال، این استانداردها به لحاظ روش شناسی، حمایتی نمیکنند.
فرم در حال بارگذاری ...
[شنبه 1400-08-08] [ 11:29:00 ب.ظ ]
|