أمن التجارة الإلكترونية
| مصطفى سمارة | أمن المعلومات - العدد (17) - شهر تموز 2007 | ||
Introduction
Without trust, most prudent business operators and clients may decide to forgo use of the Internet and revert back to traditional methods of doing business. Some security measures must be implemented so that they do not inhibit or dissuade the intended e-commerce operation. The e-commerce is actually much more secure than real-world commerce.
ربما يقرر معظم رجال الأعمال والعملاء،إن لم تتوفر لديهم الثقة، أن يمتنعوا عن استخدام الإنترنت والعودة إلى الطرق التقليدية للقيام بالأعمال؛ لذلك لابد من أن تكون بعض الاعتبارات الأمنية محققة بحيث لا يتخلى هؤلاء عن عمليات التجارة الإلكترونية، ذلك أن هذه التجارة أكثر أمناً من التجارة التقليدية المعروفة للجميع.
-----------------------------------------------------------
مقدمة
. إن غياب الثقة ناتج عن عمليات الهجوم المتكررة التي يقوم بها قراصنة الإنترنت hakers على مواقع التجارة الإلكترونية وعلى بيانات الزبائن الخاصة. في الحقيقة إن التجارة الإلكترونية أكثر أمناً من التجارة التقليدية المعروفة للجميع: فعندما تنسى بطاقة الاعتماد الخاصة بك في مكان ما، أو تعطي رقمها لِعامل المقسم تكون بذلك قد وضعت نفسك في خطر محدق. أما إذا أدخلت رقم بطاقة الاعتماد في موقع للتجارة الإلكترونية ذي سمعة حسنة، فستمر بياناتك الخاصة في قناة اتصال آمنة حتى تصل إلى مخدمات الموقع، أي ستكون محصنة من المهاجمين تحصيناً جيداً. سنتعرف في هذه المقالة بمفهوم التجارة الإلكترونية و ببعض المشاكل الأمنية التي تعتريها، وسنتعرف ببعض الحلول الأمنية لهذه المشاكل.
ماهي التجارة الإلكترونية e-Commerce (Electronic Commerce) :
هي عملية التبادل اللاورقي لمعلومات الأعمال باستخدام بعض الطرق، كعملية التبادل الإلكترونية للبيانات EDI (Electronic Data Interchange) أوعن طريق البريد الإلكتروني أو لوحات الإعلانات أو نظام نقل الصور بالناسوخ facsimile، أو الوبWWW أو تقنيات أخرى مشابهة. وبكلمات أخرى نقول إن التجارة الإلكترونية هي عملية بيع أوشراء أو نقل أو تبادل للمنتجات والخدمات والمعلومات عن طريق الشبكات الحاسوبية.
تعاريف ومفاهيم:
ظهرت الإنترنت كقناة توزيع رئيسية للبضائع والخدمات والمهام الإدارية والمهنية، وهذا من شأنه أن يغير بنية الاقتصاد والأسواق والصناعة، والمنتجات والخدمات وآلية سيرعملها، وأن يؤثر في الزبائن ومهامهم وأعمالهم وسلوكهم تأثيراً جدياً، وبذلك سيكون التأثير شديداً في المجتمعات والسياسة، وسنرى العالم وأنفسنا من خلالها. يمكن تعريف التجارة الإلكترونية انطلاقاً من العديد من وجهات النظر:
1- من وجهة نظر الاتصالات communication:
التجارة الإلكترونية هي عملية توصيل للبضائع والخدمات والمعلومات والدفع بواسطة الشبكات الحاسوبية أو أي طريقة إلكترونية أخرى.
2- من وجهة نظر تجاريةCommercial (trading):
تتيح التجارة الإلكترونية القدرة على شراء وبيع المنتحات والخدمات والمعلومات بواسطة الإنترنت.
3- من وجهة نظرالعمل Business process:
التجارة الإلكترونية هي وسيلة للقيام بالأعمال إلكترونياً وإكمالها عن طريق الشبكات الإلكترونية وبهذا نستعيض عن العملية المادية المعروفة.
4- من وجهة نظر الخدمة service:
التجارة الإلكترونية هي أداة لتحصيل تكاليف الخدمة على حساب تحسين جودة العناية بالزبائن وسرعة توصيل الخدمة إليهم.
5- من وجهة نظر التعلم learning:
التجارة الإلكترونية هي وسيلة للقيام بالتدريب والتثقيف على الإنترنت بشكل تفاعلي online للمدارس والجامعات والعديد من المنظمات الأخرى متضمنة منظمات الأعمال.
6- من وجهة نظر الأعمال الإلكترونية e-business:
إن الأعمال الإلكترونية e-business هي تعريف واسع للتجارة الإلكترونية التي تتضمن مايلي:
- بيع وشراء البضائع والخدمات.
- تخديم الزبائن.
- التعاون مع رجال الأعمال الآخرين.
- إدارة الصفقات التجارية ضمن المنظمة.
التجارة الإلكترونية الصافية والجزئية Pure vs. Partial EC:
يعتمد هذا المفهوم على درجة الرقمنة digitization (أي درجة التحويل مادي إلى رقمي) للمنتج المبيع وعملية البيع والعميل المسؤول عن التوصيل.
الأسواق الإلكترونية :Electronic market (e-marketplace)
هنا يكون السوق بين الباعة والمشترين تفاعلياً online, ويكون اجتماعهم من أجل تبادل البضائع والخدمات والنقود أو المعلومات.
إطار عمل التجارة الإلكترونية The EC Framework:
يجري دعم التجارة الإلكترونية بالاستفادة من وجود بنية تحتية ووجود خمسة عوامل أساسية وهي :
الأشخاص، السياسة العامة، التسويق والإعلان، دعم الخدمات، رجال الأعمال.
تُصنف التجارة الإلكترونية انطلاقاً من الصفقات التجارية أو عمليات التفاعل التجاري كما يلي:
1- business-to-consumer (B2C):
تجري الصفقات التجارية تفاعلياً online بين شركات الأعمال وزبائن مستقلين.
2- business-to-business (B2B):
هنا تجري الصفقات التجارية تفاعلياً online بين شركات الأعمال بعضها مع بعض.
3- e-tailing:
هنا تجري عمليات بيع التجزئة تفاعلياً online عادةً تكون من الصنف الأول(B2C).
4- business-to-business-to-consumer (B2B2C):
وهو نموذج في التجارة الإلكترونية تقدم فيه شركات الأعمال بعض المنتجات أو الخدمات إلى شركات أعمال وكيلة،لها زبائنها الخاصين بها.
5- consumer-to-business (C2B):
وهو نموذج في التجارة الإلكترونية يقوم به زبائن مستقلون باستخدام الإنترنت لبيع المنتجات أو الخدمات إلى المنظمات.
6- consumer-to-consumer (C2C):
وهو نموذج في التجارة الإلكترونية يقوم به زبائن مستقلون بالبيع مباشرةً لزبائن آخرين.
7- peer-to-peer (P2P):
تسمح هذه التقنية للحواسيب على الشبكة بالتشارك في المعطيات والمعالجة بعضها مع بعض مباشرةًَ. يمكن استخدام هذه التقنية مع النماذج C2C, B2B, B2C.
8- mobile commerce (m-commerce):
تُدار الصفقات والفعاليات التجارية في بيئة لاسلكية
- location-based commerce (l-commerce):
تُدار الصفقات والفعاليات التجارية في بيئة لاسلكية(m-commerce) بين جهات مستقلة في مواقع محددة وفي زمن محدد.
10- business-to-employees (B2E):
وهو نموذج في التجارة الإلكترونية تقوم فيه شركات الأعمال بتوصيل الخدمات والمعلومات إلى موظفيها المستقلين.
11- collaborative commerce (c-commerce):
وهو نموذج في التجارة الإلكترونية يقوم به الزبائن المستقلون أو مجموعات معينة بالتواصل أو التعاون تفاعلياً online.
12- e-learning:
هي عملية توصيل للمعلومات تفاعلياً online وذلك بغرض التدريب أو التثقيف.
13- exchange (electronic):
وهي سوق إلكترونية عامة تضم العديد من المشترين والبائعين.
14- exchange-to-exchange (E2E):
وهو نموذج في التجارة الإلكترونية يكون هدف التبادل الإلكتروني فيها هو تبادل المعلومات.
15- e-government:
وهو نموذج في التجارة الإلكترونية تقوم فيه الحكومة بشراء وبيع أو تقديم المنتجات أو الخدمات أو المعلومات إلى شركات الأعمال أو المواطنين المستقلين.
العوائق التي تقف في وجه التجارة الإلكترونية:
هي العوائق الأمنية ومشاكل الثقة والنقص في الخبرات المؤهلة، وعدم التحقق من هوية المستخدم، ومشاكل التزوير وانتحال الشخصية، وبعض القضايا القانونية، إضافةً إلى الوصول البطيء إلى الإنترنت.
متطلبات أمن التجارة الإلكترونية:
1- التكاملية Integrity: وهي القدرة على إثبات أن المعلومات المعروضة على موقع الوب أو أن المعلومات المرسلة أو المستقبلة عبر الإنترنت يُعَدِّلها أي شخص غير مخول للقيام بهذا التعديل أو التبديل.
2- عدم النكران Nonrepudiation: وهي القدرة على إثبات أن المشاركين في أعمال التجارة الإلكترونية لاينكرون الأفعال التي قاموابها تفاعلياً online.
3- التوثق Authenticity: وهي القدرة على إثبات هوية الشخص أو الكيان الذي تتعامل معه على الإنترنت.
4- السُّرية Confidentiality: وهي القدرة على إثبات أن الرسائل والمعطيات ستكون متاحة فقط للأشخاص المخولين للاطلاع عليها.
5- الخصوصية privacy: وهي القدرة على التحكم في استخدام المعلومات التي يقدمها المستخدم عن نفسه للتاجرأو البائع.
6- المُتاحيَّةAvailability: وهي القدرة على إثبات أن موقع التجارة الإلكترونية سيستمر بالتصرف كما هو مخطط له، أي وَفقاً لمِاهو مبني من أجله.
التهديدات الأمنية في بيئة التجارية الإلكترونية:
هنالك ثلاث نقاط معرضة للتهديد وهي المخدم والزبون وقناة الاتصال. ومن أهم هذه التهديدات الأمنية مايلي:
1- البرمجيات الخبيثة Malicious code:
ومن أشهرها الفيروسات، وهي برامج لها القدرة على أن تنسخ وتنشر نفسها إلى ملفات أخرى، والديدان شكل آخر لهذه البرمجيات، ولها القدرة على الانتقال من جهاز إلى آخر عبر الشبكة، ومن الأنواع الخطيرة أيضاً أحصنة طروادة Trojan horses التي تظهر للمستخدم كأنها ملفات مفيدة (تعليمية مثلاً) لكنها تقوم بأفعال شريرة عند تشغيلها. ومن البرامج الشريرة أيضاً ما هو خاص بالأجهزة المحمولة و تكون مكتوبة بلغة البرمجة جافا وتُحمل إلى الزبون عند دخوله موقع الوب.
2- القرصنة hacking:
يمكن هنا أن نعرف مفهومين هامين وهما القرصان hacker أي الشخص الذي يحاول الوصول غير المشروع إلى أنظمة الحاسوب، والمفهوم الثاني هو المخرب cracker أي الشخص الذي يستفيد من المعلومات التي يقدمها القرصان للقيام بأفعال تخريبية عدائية.
3- تزوير أو سرقة بطاقات الإعتماد Cedit card fraud/theft:
يمكن للقراصنة الوصول إلى ملفات بطاقات الاعتماد ومعلومات الزبائن الأخرى المخزنة على مخدمات التاجر أو البائع ليجري فيما بعد استخدام هذه المعلومات المسروقة لإنشاء بطاقات اعتماد بهويات وهمية.
4- الخداع spoofing:
وذلك باستخدام عناوين بريد إلكتروني مزيفة أو انتحال شخصية شخص آخر.
5- هجوم رفض الخدمة Denial of service attack: يقوم المهاجمون بإغراق الموقع بالطلبات غير المفيدة، من ثَم يتوقف الموقع عن الخدمة وتصبح الشبكة في حالة اختناق.
6- هجوم رفض الخدمة الموزع Distributed Denial of service attack: يستخدم المهاجمون عدداً هائلاً من الحواسيب للقيام بالهجوم على شبكة معينة.
7- التجسس sniffing: وذلك باستخدام برنامج للتجسس يراقب المعلومات المنتقلة عبر الشبكة،ثم سرقة المعلومات الهامة من أي مكان على الشبكة.
حلول تقنية:
1. حماية الاتصالات على الإنترنت(التشفير،أو التَّعْمِية):
التشفير هو عملية تحويل النص المقروء إلى نص مشفر غير مقروء وغير مفهوم من قبل أي شخص غير المرسل والمستقبل. والهدف هو جعل المعطيات المخزنة والمعطيات التي يجري نقلها على الإنترنت آمنة. ثم إن عملية التشفير تُحقق تكاملية الرسالة (message integrity) وتُحقق عدم النكران (nonrepudiation) والتوثق (authentication) والسرية (confidentiality). ولقد تكلمنا عن هذه الخواص في فقرة سابقة، لكن يمكن أن نتحدث عن أنواع التشفير:
التشفير المتناظر Symmetric Key Encryption:
يمكن أن نسمي هذا التشفير أيضاً "التشفير بالمفتاح السري" وفي هذا التشفير يمتلك المرسل والمستقبل نفس المفتاح لتشفير وفك تشفير الرسالة، وهذا يتطلب مجموعة مفاتيح جديدة في كل مرة.
التشفير غير المتناظر Public Key Encryption:
يمكن أن نسمي هذا التشفير أيضاً "التشفير بالمفتاح العام" ويحل هذا النوع من التشفير مشاكل التشفير السابق المتمثلة في ضرورة تبادل المفتاح السري بطريقة آمنة بين الطرفين. أما في هذا النوع من التشفير فيستخدم المرسل المفتاح العام(يكون متاحاً للجميع) للمستقبل لتشفير الرسالة وعندما تصل الرسالة للمستقبل يستخدم مفتاحه الخاص(لايعرفه أحد سواه) ليفك تشفير الرسالة، وهذا يعني أنه لن يستطيع أحد القيام بفك التشفير سواه.
التشفير بالمفتاح العام مع استخدام التوقيع الإلكتروني وعملية تهشير الرسالة:
يقوم المرسل في البداية بتهشير الرسالة باستخدام تابع تهشير وبعد ذلك يشفر الرسالة بالمفتاح العام الخاص بالمستقبل، ثم يشفرها بالمفتاح الخاص به(توقيع إلكتروني) وعندما تصل الرسالة للمستقبل يفك تشفيرها بالمفتاح العام للمرسل وبذلك يتوثق المستقبل من المرسل، ويضمن عدم نكرانه من أنه بعث الرسالة وذلك لأنها موقعة رقمياً منه(أي لأنها مشفرة بالمفتاح الخاص بالمرسل) ثم يفك المستقبل التشفير الثاني للرسالة باستخدام مفتاحه الخاص، ثم يستخدم نفس تابع التهشير ليستعيد الرسالة الأصلية .إن عملية التهشير تفيد المستقبل في التحقق أن الرسالة لم تُعدَّل على الطريق.
2. قناة الاتصال الآمنة(SSL, S-HTTP, VPNs):
Secure Sockets Layer (SSL):
تعتمد هذه التقنية على تأسيس جلسة اتصال آمنة يجري التفاوض عليها بين المرسل والمستقبل (جلسة اتصال آمنة بين الزبون والمخدم وتكون كل الطلبات والإجابات بينهما مشفرة)
S-HTTP:
وهي تقنية بديلة مصممة للعمل مع البروتوكول HTTP تتيح طريقة آمنة للاتصال وتبادل الرسائل.
Virtual Private Networks (VPNs):
وهي تقنية تسمح للمستخدمين الذين يعملون عن بعد بالوصول وصولاً آمناً إلى الشبكة الداخلية للشركة، مثلاً عن طريق الإنترنت باستخدام بروتوكولات خاصة لإنشاء قناة آمنة من نوع نقطة لنقطة point-to-point كالبروتوكول .PPTP(Point-to-Point Tunneling Protocol)
Protecting networks (firewalls):
وهو تطبيق برمجي يعمل مرشحاً بين الشبكة الخاصة بالشركة وبين الإنترنت، لذا لا ينتقل من شبكة الشركة و إليها إلا ماهو مسموح له بالمرور.
Proxy Servers:
وهو تطبيق برمجي يعالج كل الاتصالات الخارجة من الشبكة الداخلية للشركة والمرسلة إلى الإنترنت، فهو يتصرف كمتكلم عن الشبكة الداخلية غير المرئية للإنترنت.
تطوير خطة من أجل أمن التجارة الإلكترونية:
يوجد العديد من الخطوات لتطوير خطة أمنية وهي:
1- القيام بعملية تقدير للمخاطرrisks وهي عملية هامة جداً ولابد من مراعاتها منذ البداية.
2- وضع وتطوير سياسة أمنية وهي مجموعة من الإجراءات التي تهدف إلى الاستفادة من المعلومات المتوفرة عن المخاطر، بغية ترتيبها حسب أهميتها، ومن ثم تحديد المخاطر المقبولة كهدف وتحديد آليات لتحقيق الأهداف(set of statements prioritizing informationon risks, identifying acceptable risk targets and identifying mechanisms for achieving targets.)
3- تطوير خطة تنفيذية، وهي مجموعة من الأفعال المطلوبة لتحقيق أهداف الخطة الأمنية.
4- إنشاء منظومة أمنية مسؤولة عن الأمن وتثقيف وتدريب العاملين، وإبقاء الإدارة مدركة للقضايا الأمنية وعمليات التحكم بالوصول والإجرائيات المتبعة للتوثق.
القيام بعملية مراقبة وتدقيق أمني، قَصْدَ مراجعة العمليات والإجرائيات الأمنية.
| |||
ليست هناك تعليقات:
إرسال تعليق