برای رعایت حریم خصوصی نام نگارنده و استاد راهنما در سایت درج نمی شود
(در فایل دانلودی نام نویسنده و استاد راهنما موجود است)
تکه هایی از متن پایان نامه به عنوان نمونه :
(ممکن است هنگام انتقال از فایل اصلی به داخل سایت بعضی متون به هم بریزد یا بعضی نمادها و اشکال درج نشود ولی در فایل دانلودی همه چیز مرتب و کامل است)
چکیده
درسالهای گذشته تحولات زیادی در عرصۀ تجارت الکترونیک رخ دادهاست و شاهد این هستیم که هزاران سازمان توسط سرمایهداران بزرگ، پا به عرصۀ تجارت الکترونیک گذاشته و میگذارند؛ ولی بسیاری از آنها با ناکامی مواجه شدهاند. از سوی دیگر، افزایش استفاده از ایمیل برای تبادل اطلاعات و انجام معاملات آنلاین در سازمانها، باعث افزایش نیاز به ارتباطات امن گردیده است؛ به خصوص با پیشرفت و هوشمندی روزافزون حملات کلاهبرداری، رهگیری انتقال و سایر روشهای هک؛ بنابراین اگر شرکتی خود را به سیستم تجارت الکترونیک مجهز نماید و خواهان دست یافتن به پتانسیل واقعی تجارت الکترونیک باشد، باید زیرساختهای لازم و مطرح در این حوزه را در نظر بگیرد. یکی از مباحث مهم در حوزۀ تجارت الکترونیک، امنیت است که باید در کنار سایر موارد در نظر گرفته شود. با توجه به ضرورت موجود این حوزه، هدف پژوهش حاضر توسعۀ روش و ساختاری است که بتوان به ارزیابی امنیت در تجارت الکترونیک شرکتهای مختلف و با استفاده از کارشناسان مختلف پرداخت. در این پژوهش، روش آنتروپی شانون در کنار تئوری دمپستر _ شیفر قرار گرفته تا از این طریق سطح نهایی امنیت را بتوان اندازهگیری کرد. با توجه به اینکه تحقیق حاضر مبتنی بر تیم تصمیم به جهت جمعآوری داده میباشد، مراحل جمع آوری دادهها در دو فاز مورد اجرا قرار گرفتند؛ در فاز اول دادههای مرتبط با تعیین وزن معیارها از طریق پرسشنامه، با کمک سه تن از اساتید متخصص در حوزۀ امنیت و مدیریت گردآوری و در فاز بعد دادههای مرتبط با سطح امنیت معیارها ازطریق مصاحبه، با استفاده از دوازده تن از اعضای چهار شرکت بازرگانی مجهز به سیستم تجارت الکترونیک در مشهد که حاضر به همکاری بودند، جمع آوری شدند. سپس میزان اهمیت معیارهای امنیت نسبت به یکدیگر، سطح امنیت هر معیار و سطح کلی امنیت در هریک از شرکتهای بازرگانی تعیین گردید. نتایج نهایی تحقیق نشان داد که سطح کلی امنیت برای سه شرکت، بالا و برای شرکت چهارم، متوسط میباشد.
کلید واژه: تجارت الکترونیک، امنیت، الزامات امنیتی، سیاستهای امنیتی، زیر ساختها و پیاده سازی، تست امنیتی
فهرست مطالب
صفحه عنوان
فصل اول: کلیات تحقیق
- مقدمه 1
- بیان مسئله و تبیین موضوع . 2
- ضرورت و اهمیت انجام تحقیق . 3
- سوالات تحقیق 4
- اهداف تحقیق 4
- نتایج مورد انتظار پس از تحقیق . 5
قلمرو تحقیق 5
- قلمرو زمانی تحقیق 5
- قلمرو مکانی تحقیق 5
- قلمرو موضوعی تحقیق . 6
- تعریف واژگان کلیدی تحقیق . 6
فصل دوم: ادبیات موضوع
2-1) تجارت الکترونیک 9
2-1-1) تفاوت تجارت الکترونیک و کسب و کار الکترونیک . 11
2-1-2) انواع مدل تجارت الکترونیک 12
2-2) امنیت . 13
2-3) الزامات امنیتی . 15
2-3-1) تصدیق هویت 17
2-3-2) محرمانگی و حریم خصوصی . 18
2-3-3) محرمانگی 20
2-3-4) تمامیت / درستی . 21
2-3-5) عدم انکار . 22
2-3-6) قابلیت اطمینان 23
2-3-7) در دسترس بودن . 23
2-4) سیاستهای امنیتی . 24
2-4-1) عوامل فنی، محیطی/ اجتماعی و سازمانی/ مدیریتی 26
2-4-2) عوامل فنی 28
2-4-2-1) تکنولوژی رمزنگاری 28
2-4-2-2) زیرساخت کلید عمومی . 30
2-4-2-3) پروتکل امن تجارت الکترونیک . 31
2-4-2-4) امضا الکترونیک . 32
2-4-2-5) پشتیبان گیری و بازیابی داده . 34
2-4-2-6) امنیت شبکههای محلی . 35
2-4-2-7) امنیت سرور وب . 37
2-4-2-8) امنیت سیستم عامل 38
2-4-2-9) امنیت نرمافزار . 39
2-4-2-10) امنیت پایگاه داده . 41
2-4-2-11) امنیت ترمینالها . 43
2-4-2-12) امنیت پرداخت الکترونیک و کارت هموشمند 44
2-4-2-13) فایروالها و پروکسی . 47
2-4-3) عوامل محیطی و اجتماعی 49
2-4-3-1) مباحث قانونی . 49
2-4-3-2) ثبات چشم اندازهای سیاسی 51
2-4-3-3) موانع زبانی 52
2-4-3-4) تفاوت فرهنگی بین مشتریان . 53
2-4-4) عوامل سازمانی و مدیریتی . 55
2-4-4-1) نقش و مسئولیت مدیران و کارکنان . 55
2-4-4-2) آگاهی امنیتی کارکنان 56
2-4-4-3) مدیریت منابع انسانی و مجهزشدن به کادر فنی کلیدی 58
2-4-4-4) مدیریت سایت، امنیت سایت، حفاظت و نگهداری از تجهیزات 60
2-4-4-5) مدیریت کلید . 62
2-4-4-6) مدیریت رمزعبور کاربران، الزام اجرای رمزعبور پیچیده و دوره زمانی برای آن 64
2-4-4-7) مدیریت امتیازات . 66
2-4-4-8) مدیریت لجستیک 67
2-4-4-9) دسترسی به سرور شرکت و سطح کارکنان مجاز به دسترسی . 68
2-4-4-10) مدیریت چگونگی استقرار فناوری امنیتی . 70
2-4-5) مشخصات زیرساختها و پیادهسازی . 73
2-4-5-1) استفاده از صادر کننده گواهی دیجیتال 74
2-4-5-2) هانیپات . 75
2-4-6) تستهای امنیتی 76
2-4-6-1) فیشینگ 77
2-5) عدم قطعیت در تصمیم گیری 79
2-6) آنتروپی شانون 81
2-7) فازی 82
2-8) تئوری دمپستر_ شیفر . 83
2-8-1) قاعده ترکیب دمپستر . 85
2-8-2) تعارض در ترکیب شواهد . 86
2-9) پیشینه تحقیق 88
2-9-1) مطالعات داخلی 88
2-9-2) مطالعات خارجی . 91
2-10) ساختار مولفههای امنیت . 94
فصل سوم: روش تحقیق
3-1) روش پژوهش 99
3-1-1) تحقیقات بنیادی یا پایهای 99
3-1-2) تحقیقات کاربردی . 99
3-1-3) تحقیقات علمی . 100
3-2) جامعه آماری، نمونه آماری و روش تحقیق . 100
3-2-1) جامعه آماری و نمونه آماری 100
3-2-2) روش و ابزارگردآوری داده . 101
3-3) روایی و پایایی ابزار سنجش 102
3-3-1) روایی پرسشنامه . 102
3-3-2) پایایی پرسشنامه 103
3-4) مراحل انجام تحقیق و تجزیه و تحلیل داده 103
3-4-1) مرحله اول 104
3-4-2) مرحله دوم . 104
3-4-3) مرحله سوم 105
3-4-4) مرحله چهارم . 107
3-4-5) مرحله پنجم . 107
فصل چهارم: تجزیه و تحلیل دادهها
4-1) مرحله اول . 111
4-2) مرحله دوم . 119
4-3) مرحله سوم 123
فصل پنجم: نتیجهگیری و پیشنهادات
5-1) مرور کلی . 127
5-2) بحث و نتیجهگیری 127
5-2-1) نکات مثبت پژوهش حاضر . 128
5-2-2) بحث و نتیجهگیری تحقیق . 128
5-3) پیشنهادات 131
5-3-1) پیشنهادات کاربردی . 131
5-3-2) پیشنهاد برای تحقیقات آتی 132
5-3-3) محدودیت . 133
منابع و مآخذ
منابع فارسی . 135
منابع انگلیسی 136
ضمائم و پیوست
پرسشنامههای تحقیق . 147
فهرست جداول
جدول 2-1 تعاریفی از تجارت الکترونیک . 11
جدول 2-2 برخی از انواع مدلهای تجارت الکترونیک 12
جدول 2-3 قوانین محیطی و شبکهها: حوزههای مرتبط با تجارت الکترونیک . 50
جدول 2-4 مقایسه مدلهای منابع انسانی . 59
جدول 3-1 نظرات تصمیم گیرندگان درباره شاخصها 106
جدول 4-1 ماتریس حاصل از ادغام نظر کارشناسان . 111
جدول 4-2-1 نتایج گام اول . 112
جدول 4-2-2 نتایج گام اول . 112
جدول 4-2-3 نتایج گام اول 113
جدول 4-2-4 نتایج گام اول . 113
جدول 4-2-5 نتایج گام اول . 114
جدول 4-2-6 نتایج گام اول . 114
جدول 4-2-7 نتایج گام اول 115
جدول 4-3-1 مقادیر بدست آمده از گام 2-5 . 116
جدول 4-3-2 مقادیر بدست آمده از گام 2-5 . 116
جدول 4-3-3 مقادیر بدست آمده از گام 2-5 117
جدول 4-3-4 مقادیر بدست آمده از گام 2-5 117
جدول 4-3-5 مقادیر بدست آمده از گام 2-5 118
جدول 4-3-6 مقادیر بدست آمده از گام 2-5 118
جدول 4-3-7 مقادیر بدست آمده از گام 2-5 119
جدول 4-4-1 سطح امنیت مولفههای تجارت الکترونیک در شرکتهای مورد مطالعه 120
جدول 4-4-2 سطح امنیت مولفههای تجارت الکترونیک در شرکتهای مورد مطالعه 120
جدول 4-4-3 سطح امنیت مولفههای تجارت الکترونیک در شرکتهای مورد مطالعه 121
جدول 4-4-4 سطح امنیت مولفههای تجارت الکترونیک در شرکتهای مورد مطالعه 121
جدول 4-4-5 سطح امنیت مولفههای تجارت الکترونیک در شرکتهای مورد مطالعه 122
جدول 4-4-6 سطح امنیت مولفههای تجارت الکترونیک در شرکتهای مورد مطالعه 122
جدول 4-5-1 سطح کلی امنیت در تجارت الکترونیک شرکتهای مورد مطالعه . 123
جدول 4-5-2 سطح کلی امنیت در تجارت الکترونیک شرکتهای مورد مطالعه . 124
جدول 4-5-3 سطح کلی امنیت در تجارت الکترونیک شرکتهای مورد مطالعه . 124
جدول 4-5-4 سطح کلی امنیت در تجارت الکترونیک شرکتهای مورد مطالعه . 125
فهرست اشکال
شکل 1-1 مدل فناوریهای ضروری در خدمات تجارت الکترونیک . 4
شکل 2-1 مراحل تعیین الزامات امنیتی . 16
شکل 2-2 مدل هدف امنیتی برای حمله به منظور جابهجایی نرم افزار . 41
شکل 2-3 لایههای سیستمهای ارتباطی . 50
شکل 2-4 ساختار محقق ساخته مولفههای امنیت در تجارت الکترونیک . 95
شکل 2-5 ساختار محقق ساخته مولفههای امنیت در تجارت الکترونیک . 96
شکل 3-1 فرآیند انجام پژوهش 104
فصل اول:
کلیات تحقیق
در کشورهای در حال توسعه، دستیابی به توسعۀ اقتصادی تنها زمانی امکانپذیر است که کشور بتواند در ایجاد درآمد ارزی موفق شود. از سوی دیگر برای رشد تولید ناخالص ملی، بخشهای صنعتی و بازرگانی کهنه به نوسازی و بازسازی نیازمندند و در اغلب کشورهای در حال توسعه جایگزین کردن صنایع جدید به جای صنایع قدیمی، کهنه شده و فرسوده نیازمند منابع خارجی است که مهمترین آنها فناوری و دانش میباشد. بنابراین، برای خرید منابع خارجی که خود باعث حرکت توسعه اقتصادی میگردد، کشورهای در حال توسعه باید ذخایر ارزی خود را افزایش دهند، در این راستا تنها صادرات است که میتواند مقدار زیادی درآمد ارزی برای کشور حاصل نماید و بخشهای کهنه و فرسوده را در صنعت و تجارت متحول سازد. اما باید در نظر داشت که موفقیت راهبرد جهش صادراتی، مستلزم شناسایی تحولات جهشی، نظیر تجارت الکترونیک در عرصۀ تجارت بینالملل است. لازم به ذکر است که تجارت الکترونیک و جهانی شدن دو پدیدۀ بسیار مهم و بحث انگیز جهان امروز هستند که فرصتهای زیادی را برای بنگاهها ایجاد کرده و بنگاهها با استفاده از این فرصتها میتوانند موفقیت خود را در بازار جهانی تضمین نمایند. از این رو میتوان گفت که فناوری اطلاعات یک پایۀ اساسی برای توسعۀ کشورها و یک معیار عمل برای رهبری و موفقیت سازمانی است.
بنابراین میتوان نتیجه گرفت که توسعۀ اینترنت تأثیر قوی برروی شیوۀ تجارت داشته و تجارت الکترونیک، به یک شیوه تجاری جدید در کسب و کار امروزی تبدیل شده است که باعث شهرت بیشتر میشود. اما با وجود رشد سریع آن، محدودیتهایی وجود دارد که مانع از گسترش تجارت الکترونیک میشوند، باید درنظر داشت که اطلاعات در سیستمهای رایانهای مجزا از یکدیگر، حالتی کاملا ایستا دارد و لذا حفظ امنیت آن چندان مسئلۀ دشواری به شمار نمیرود. اما با اتصال گستردۀ رایانهها و پیدایش شبکۀ ارتباطی، اطلاعات به عنوان مهمترین کالای این عرصه دیگر مقیم رایانۀ خاصی نیست و در پهنای شبکۀ گستردۀ ارتباطی، دائماً نقل مکان میکنند (جعفری، 1385). این حرکت باعث میشود که حفظ امنیت اطلاعات به مقولهای بسیار دشوارتر از پیش تبدیل شود. درحالی که ریسکهای زیادی در زمینۀ اینترنت و محیط شبکه برای تجارت الکترونیک وجود دارد، امنیت میتواند به عنوان یک ابزار برای جلوگیری یا حداقل کردن ریسک مورد استفاده قرار گیرد.
از سوی دیگر معرفی مداوم تکنولوژیهای جدید، باعث میشود که مشکل تأمین امنیت سیستمهای وب، بیشتر به چالش کشیده شود، لذا با توجه به نقش محوری فناوری اطلاعات در شرکتهای امروزی، امنیت اطلاعات به یکی از مؤلفههای کلیدی مدیریت و برنامهریزی شرکتهای مدرن تبدیل شده است. این روندها به وضوح نشان دهندۀ یک نیاز برای درک بهتر فعالیتهای مخرب اینترنتی براساس هردو تجزیه و تحلیل کیفی و کمی است که حفاظت، تشخیص و بهبود خدمات را امکانپذیر میسازد.
لازم به ذکر است که مدیریت امنیت اطلاعات، از آنها در برابر طیف وسیعی از تهدیدات به منظور اطمینان از تداوم کسب و کار، به حداقل رساندن آسیبها و حداکثر کردن بازده سرمایهگذاری محافظت میکند. البته امنیت کلی یک سیستم از طریق در نظر گرفتن عوامل فیزیکی مانند سخت افزار، منطقی از قبیل نرم افزار و اقدامات امنیت سازمانی ایجاد میشود. بنابراین، روش ارجح برای ارزیابی امنیت، تجزیه و تحلیل حملات داخلی و خارجی است (کیرسبیلک و ون هوک[1]، 2006).
با توجه به مفاهیم فوق، امنیت مانند دیگر جنبههای یک سیستم فناوری اطلاعات، اگر از طریق چرخۀ عمر سیستم برنامهریزی شده باشد، بهتر مدیریت میشود و در بررسی امنیت یک سازمان باید ابتدا به این سوال پاسخ داد که چه سطحی از امنیت برای یک سازمان نیاز است و سازمان چگونه باید نیاز امنیتی خود را تأمین کند.
1-2) بیان مسئله و تبیین موضوع
با ورود فناوری اطلاعات در عرصههای مختلف، حوزۀ اقتصاد نیز تحت تأثیر قرار گرفته است و یکی از نمودهای بارز فناوری اطلاعات، تجارت الکترونیکی است. با توجه به اینکه امروزه این نوع تجارت نقش عمدهای در اقتصاد جهانی ایفا میکند، بهکارگیری و استقرار موفقیتآمیز تجارت الکترونیک به وجود یک برنامه و استراتژی مدون و مشخص نیازمند است، زیرا بدون آن ممکن است، کلیه تلاشهای شرکت در راستای استقرار این تجارت با شکست مواجه شود و ضمن اتلاف منابع مالی، انسانی و زمانی، حتی بقای سازمان نیز با تهدید مواجه شود. ارتقا و استفادۀ بهینه از امنیت، حریم خصوصی و اعتماد، عناصر مهمی برای حمایت از رشد کسب و کار الکترونیک هستند (بلانگر، هیلر و اسمیت[2]، 2002) و میتوان به راحتی دریافت که بدون وجود اعتماد در تجارت الکترونیک، بیشتر شرکتهای محتاط در تجارت و مشتریان، ممکن است تصمیم بگیرند که از اینترنت چشم پوشی نموده و به سبکهای سنتی انجام فعالیتهای تجاری برگردند؛ بنابراین به منظور ایجاد اعتماد در تجارت الکترونیک، نیاز به فراهم آوردن زیر ساختهای لازم در این زمینه، مانند زیرساختهای امنیتی میباشد. از این رو موضوع مربوط به امنیت شبکه در تجارت الکترونیک و سایتهای مشتری به طور مداوم باید بررسی شده و اقدامات متقابل برای آن ابداع گردد (مارچنی و ترونت[3]، 2002). از سوی دیگر، درگذشته شرکتها دسترسی محدود به اطلاعات را مجاز میدانستند، اما امروزه تعداد شرکتهایی که اطلاعات خود را برای کاربران دور از طریق اینترنت در دسترس قرار میدهند به طور مداوم در حال افزایش است (کوتزی و الوف[4]، 2002). آنچه مطرح میباشد این است که در برنامههای تجارت الکترونیک، تمام اطلاعات محرمانه و یا دارای ارزش بازاری هستند که باید در زمان انتقال برروی اینترنت با دقت محافظت شوند (گوتارت، کاررا، بلترن، تورس و آو گواد[5]، 2007)، به این علت، توسعه مداوم تجارت الکترونیک در فراهم آوردن شرایط تجاری منصفانه، امن و کارآمد، الهام بخش محققان شده است (یو، گو سون و لیانگ[6]، 2009). با توجه به مباحث بالا میتوان دریافت که اطلاعات جزء عوامل حیاتی بسیاری از سازمانها هستند و نباید در هیچ شرایطی به خطر بیفتند، بلکه باید کاملا امن و مدیریت شده باشند، زیرا اگر سازمانها در زمینۀ امنیت
اطلاعات شکست بخورند با نتایجی از قبیل شکستهای مالی یا پیگردهای قانونی مواجه خواهند شد (کریتزنگر و اسمیت[7]، 2009). درنتیجه، این الزام مطرح است که سازمانهای فعال در عرصۀ تجارت الکترونیک، سطح امنیت در تجارت الکترونیک سازمان خود را مشخص نمایند تا در صورت وجود هرگونه ضعف امنیتی در بخشهای مختلف بتوانند آن را برطرف کرده و از بروز هرگونه مشکل و نقض در سیستم تجارت الکترونیک خود جلوگیری کنند؛ بنابراین باید امنیت تجارت الکترونیک در یک سازمان کمیتسنجی شده تا مشخص شود که چه سطحی از امنیت در آن سازمان حاکم است و از این طریق مواردی که نیاز به توجه بیشتر دارد، شناسایی گردند. البته در بررسیهای امنیتی یک سازمان باید ابتدا به این سوال مهم پاسخ داد که چه سطحی از امنیت برای یک سازمان نیاز است و چگونه یک سازمان باید از نیازهای امنیتی خود مطلع شود؟ از سوی دیگر با توجه به گستردگی بهکارگیری فناوری اطلاعات و ارتباطات در جهان، فعالیتهای تجاری و ریسکهای موجود در این زمینه، این الزام وجود دارد که سازمانها جهت اطمینان از حصول اهداف خود به تحقیق و بررسی دست بزنند زیرا شرکتهایی که بدون مطالعه و تحقیق دست به تجارت الکترونیک میزنند و تمام ابعاد انجام چنین کاری را مورد بررسی و تحلیل قرار نمیدهند، در رسیدن به اهداف خود موفق نخواهند بود؛ لذا در اینجا مسئلۀ اصلی این است که روشی ارائه شود که همۀ جوانب امنیت تجارت الکترونیک را از مرحلۀ پیادهسازی تا مراحل بعدی بسنجد و نقاط قوت و ضعف سیستم را مشخص نماید تا در نهایت سطح امنیت کلی شرکت را مشخص شود. در تحقیق حاضر، محقق سعی بر پرداختن به این موضوع دارد.
[1] Keerseblick & Vanhoucke
[2] Belanger, Hiller & Smith
[3] Marchany & Tront
[4] Coetzee & Eloff
[5] Guitart,, Carrera, Beltran, Torres & Ayguadé
[6] Yu, Guo-sun, Z & Liang
[7] Kritzinger & Smith
تعداد صفحه :172