باید در نظر داشت که از هانی پات سنتی، برای محافظت از شبکۀ شرکت استفاده می شود و تولید آن نیز با همین هدف انجام میگیرد. به طور کلی هانیپات را میتوان برای دو هدف تولید و پژوهش (تحقیقات)، مورد استفاده قرار داد. هدف از نوع تولید، کمک به کاهش ریسک دریک سازمان، از طریق کاهش آسیب یک حمله کننده به یک کامپیوتر واقعی یا برنامه و جلوگیری از گسترش حملات او به سایر منابع محاسباتی است؛ نوع تحقیقاتی آن به منظور جمع آوری اطلاعات حمله کنندگان، مورد استفاده قرار میگیرد.
( اینجا فقط تکه ای از متن فایل پایان نامه درج شده است. برای خرید متن کامل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )
علاوه بر این هانیپاتها را میتوان براساس معیار فیزیکی و مجازی، طبقه بندی نمود؛ نوع فیزیکی آن، به صورت یک ماشین واقعی در شبکه است، در حالی که مجازی، یک نرم افزار پردازش است و هردوی اینها نیاز به یک آدرسIP دارند (آرتیل و همکاران، ۲۰۰۶).
لازم به ذکر است که درکنار هانیپات، هانینت یک نوع خاص از این سیستم میباشد که حداکثر سطح فریب برای حمله کنندگان را از طریق ایجاد تمام دامهای شبکه فراهم می آورد؛ از این رو یک هانینت ممکن است برای اهداف پژوهشی یا حفاظتی گسترش یابد (چوواکین، ۲۰۰۳). این سیستم دارای معانی خاصی مرتبط با هانیپات است و استفادۀ اصلی از آن برای کارهای تحقیقاتی میباشد (ژانگ و همکاران، ۲۰۰۳).
تستهای امنیتی:
تستهای امنیتی به منظور بررسی اثربخشی زیرساختهای امنیتی، عملکرد مکانیزم کنترل دسترسی، زمینۀ عملیاتی مشخص شده و وجود آسیب پذیریهای شناخته شده در زیرساختها انجام میگیرد و به سازمانها، در شناسایی نقاط ضعف سیستم تجارت الکترونیک خود کمک مینمایند تا از این طریق ضعفهای خود را برطرف و به مزیت رقابتی
بیشتری در این حوزه دست یابند. اما کشل و همکاران (۲۰۰۴)، مطرح کردند که سازمانها معمولاً به دلایلی مانند: ترس از تأثیر برروی بازارمالی، آسیب دیدن شهرت و پس از آن ریسک اختلافات حقوقی، ریسک بدست آوردن اطلاعات توسط هکرها که میتواند در حملات مورد استفاده قرار گیرد و در نهایت نگرانی پرسنل IT در زمینۀ از دست دادن کار خود، از انجام دادن تستهای امنیتی اجتناب میکنند (کشل و همکاران، ۲۰۰۴، به نقل از هاگن و دیگران،۲۰۰۸). نیاز در زمینۀ تست کردن امنیت یک سازمان با توجه به دو عامل اصلی مطرح می شود: نخستین عامل به اهمیت اندازهگیری مربوط می شود؛ به اینکه پیادهسازی زیرساختهای امنیتی تا چه اندازهای سیاستهای امنیتی و نیازهای امنیتی یک سازمان را اجرا می کند. همانطور که پیادهسازی زیرساختهای امنیتی، نیازمند مداخلات بشر است، یک تست مناسب امنیتی، برای بررسی هرگونه خطای انسانی نیاز است. عامل دیگر از آسیبپذیری زیرساختهای امنیتی موجود، تهدیدات و سوء استفادههای جدید ناشی می شود. با توجه به اینکه در سالهای اخیر، نرخ ورود انواع جدیدی از تهدید و سوء استفاده در حوزۀ تجارت الکترونیک، هشدار دهنده بوده است، بنابراین اهداف اصلی تستهای امنیتی شامل موارد زیر است:
تأیید مشخصات امنیتی مورد نیاز از قبیل محل دارایی ها، مکانیزم های کنترل دسترسی برای دارایی، مفاهیم عملیاتی سازمان، خدمات موجود سیستم و مکانیزم های کنترل دسترسی آنها، اتصال درون سازمان و اتصال سازمان با محیط بیرون
تأیید پیکربندی ابزارهای امنیتی مشخص شده در زیرساختهای امنیتی، برای مثال آیا ابزارهای امنیتی برای حفظ امنیت دارایی ها، به درستی نصب و پیکربندی شده اند یا خیر؟
تأیید وجود هرگونه شکافی بین زیرساختهای امنیتی پیشنهاد و اجرا شده
تأیید محدودیت زیرساختهای امنیتی پیشنهاد شده، با توجه به آسیب پذیریهای شناخته شده
به طور کلی میتوان دونوع تست را در زمینۀ امنیتی نام برد: تست پذیرش[۱۹۴] و تست نفوذ[۱۹۵]؛ در تست پذیرش بررسی می شود که زیرساختهای امنیتی به اجرا در آمده، با سیاستهای امنیتی سازمان انطباق دارد یا خیر و در تست نفوذ، به این موضوع پرداخته می شود که زیرساختهای امنیتی موجود برای دفع تمام تهدیدات امنیتی ممکن تا چه اندازه کافی است (سنگوپتا و همکاران، ۲۰۰۵).
فیشینگ[۱۹۶]:
در دنیای تجاری امروزی بسیاری از ارائه دهندگان خدمات اینترنتی، از کاهش اعتماد کاربران نسبت به تجارت الکترونیک، احساس نگرانی می کنند و یکی از مشکلاتی که اخیراً در حوزۀ کامپیوتر مطرح شده است بحث فیشینگ میباشد که در واقع نوعی سرقت هویت اینترنتی است که هدف آن سرقت اطلاعات حساس از قبیل کلمات عبور بانکداری آنلاین و اطلاعات کارت اعتباری کاربران میباشد. استفاده از حملات فیشینگ، ترکیبی از مهندسی اجتماعی و تکنیکهای فنی جاسوسی است که به منظور متقاعد کردن کاربران، برای ارائۀ اطلاعات حساسشان به کار برده می شود و مهاجم پس از
آن می تواند از آنها برای ایجاد منافع مالی استفاده کند (کردا و کروگل[۱۹۷]، ۲۰۰۵).
از این رو یک ایمیل، می تواند باعث فریب قربانیان برای دادن اطلاعات نام کاربری، رمزعبور، یا اطلاعات حساب پس از اینکه آنها را به وب سایت جعلی تجارت الکترونیک بانک لینک نمودند، شود. به این ترتیب فیشینگ از پیامهای یک ایمیل جعلی به منظور فریب کاربران برای افشای اطلاعاتشان استفاده می کند (فرنل و ذکری[۱۹۸]، ۲۰۰۶).
حمله به شرکتها و نه مشتریان
بعضی از برنامه های فیشینگ به جای هدف قرار دادن اطلاعات شخصی قربانی، در جهت بدست آوردن اطلاعات باارزش در پایگاه دادۀ شرکت، از افراد استفاده می کنند. در این حالت فیشرها، برنامه های مشابهی را برای هدف قراردادن کارکنان یک شرکت و دزدیدن اطلاعات لاگین اینترانت شرکت به کارمیبرند. این موضوع به حمله کنندگان اجازه میدهد تا وارد شبکۀ اینترانت شرکت شده و اطلاعات محرمانه را سرقت کنند و مشکلات دیگر را پدید آورند.
درخواست فاکتورهای تصدیق هویت
بانکها میتوانند حملات فیشینگ را از طریق خواستن دو فاکتور، تصدیق هویت نمایند؛ فاکتور اول نام کاربری و رمزعبور کاربر میباشد و دیگری، یک تصویر و یا عبارت تصدیق هویت است که شرکت کننده؛ با یک بانک یا یک فروشندۀ آنلاین، از قبل انتخاب مینمایند (گییر[۱۹۹]، ۲۰۰۵).
انواع حملات فیشینگ
حملات فیشینگ به چندین دسته تقسیم میشوند؛ اولین شکل حملات فیشینگ مبتنی بر ایمیل است که به اواسط دهه ۹۰ میلادی مربوط می شود. این نوع حملات شامل یک ایمیل جعلی است که حمله کننده، آن را برای کاربرانی میفرستد که درصدد متقاعد کردن آنها برای ارسال کلمه عبور و اطلاعات حساب کاربری آنها است. اگرچه امروزه امکان موفقیت این حملات وجود دارد، اما نرخ موفقیت آنها از نقطه نظر حمله کنندگان، به دلیل آگاهی کاربران از عدم ارسال اطلاعات حساس از طریق ایمیل، کاهش یافته است و به دلیل افزایش آگاهی، بسیاری از سازمانهای حساس امنیتی، از قبیل بانکها، دیگر خدمات تعاملی از طریق اینترنت را به این دلیل که کاربران باید رمزعبور خود را ارائه نمایند، فراهم نمیکنند. بر این اساس، امروزه بسیاری از حملات فیشینگ، ترکیب پیچیدهتری از ایمیلها و وب سایتهای جعلی برای سرقت اطلاعات قربانیان هستند و چنین حملاتی رایجترین شکل حملات فیشینگ میباشند. در این حمله، مهاجمان ایمیلهای جعلی زیادی که به نظر میرسد از یک سازمان مشروع مثل بانک باشد را، به طور تصادفی برای کاربران ارسال می کنند و مصرانه خواستار به روز رسانی اطلاعات شخصی آنها میشوند؛ سپس قربانیان مستقیماً به وب سایتی شبیه سایتهای بانکداری الکترونیک، مراجعه می کنند و از کاربران خواسته می شود که اطلاعات شخصی خود را وارد نمایند.
بعضی از حملات فیشینگ از لحاظ فنی پیچیدهتر بوده و از آسیب پذیری شناخته شده در مرورگرهای رایج وب از قبیل اینترنت اکسپلورر، برای نصب نرمافزارهای مخرب در جهت جمع آوری اطلاعات، استفاده می کنند. امکان دیگر برای مهاجم، تغییر تنظیمات پروکسی کاربران مرورگر است، به طوری که تمام ترافیک وب کاربر از سرور حمله کننده عبور می کند (کردا و کروگل، ۲۰۰۵).
در این راستا برای جلوگیری ازفیشینگ، آنتی فیشینگ مطرح شده است که چندین تکنیک آن در حال رواج است، اما بیشتر شرکتها برروی یک یا دو تکنیک آنتی فیشینگ تمرکز دارند. یک کلید برای بیشتر این روشها، داشتن ارائه دهندگان خدمات اینترنت[۲۰۰] نزدیک به وب سایتهای فیشینگ میباشد؛ با این حال این روش می تواند وقتگیر و پرهزینه باشد و حتی در کشورهایی که قوانین ضد هک ندارند، تلاش برای بستن سایتها می تواند بیفایده باشد. با این وجود چندین شرکت آنتی فیشینگ[۲۰۱]، خدمات تلافی جویانهای را ارائه می دهند؛ بعضی از این شرکتهای امنیتی، با فرستادن اطلاعات جعلی مالی، به طوری که سایت نمیتواند بپذیرد که ممکن است قربانی این اطلاعات باشد، واکنش نشان می دهند (گییر، ۲۰۰۵).
پس از بررسی ادبیات مربوط به مؤلفه ها و ساختار ارائه شده در زمینۀ امنیت تجارت الکترونیک، لازم است ادبیات مرتبط با روش به کار رفته در پژوهش حاضر را مورد بررسی قرار دهیم؛ لذا مباحث مرتبط با روش شناسی از جمله عدمقطعیت در تصمیم گیری، آنتروپی شانون، فازی، تئوری دمپستر _ شیفر و تعارض در تصمیمات را به طور مختصر مورد بررسی قرار میدهیم.
عدم مقطعیت در تصمیم گیری:
بسیاری از مسائل دنیای واقعی، از جهات گوناگون فاقد قطعیت هستند، میتوان گفت در بسیاری از حالات، اطلاعات موجود از یک مسئله یا سیستم، ناقص است؛ برای مثال ممکن است اطلاعات ناقص[۲۰۲]، مبهم[۲۰۳]، غیردقیق[۲۰۴]، متناقض[۲۰۵] باشد. وجود انواع اطلاعات ناقص، منجر به انواع مختلف عدماطمینان میگردد و مسلماً تصمیم گیری در شرایط عدمقطعیت، یکی از مهمترین مسائل در حوزۀ سیستمهای کنترل و خبره است، بنابراین یک فاکتور پیچیده در توسعۀ پشتیبانیتصمیم و سیستمهای کارشناسی، بررسی قضاوتهای غیرقطعی است.
علاوه بر این انسان معمولاً با عدمقطعیت و حتمیت مواجه است؛ عدم حتمیت در رابطه با کفایت اطلاعات و عدمقطعیت در رابطه با جامعیت استنتاجات خود. از لوازم عدم حتمیت امکان وجود خطا در رفتار انسان بوده، زیرا وی معمولاً فاقد اطلاعات جامع و همه جانبه از محیط پیرامون خود است (کلر، کلر و یوان، ۱۳۸۹).
در سالهای اخیر مجامع علمی و مهندسی، تعاریف سودمندی از عدمقطعیت ارائه دادند که ماهیت دوگانه عدمقطعیت با تعاریف زیر از هلتون (۱۹۹۷)، بیان گردیده است:
عدمقطعیت نامعلوم[۲۰۶]
این نوع عدمقطعیت، در نتیجۀ این واقعیت است که یک سیستم می تواند به طور تصادفی عمل نماید. این نوع عدمقطعیت به نامهای عدمقطعیت تصادفی، عدمقطعیت غیرقابل تقلیل، تغییرپذیری، عدمقطعیت نوعA، عدمقطعیت عینی شناخته می شود.
عدمقطعیت معرفت شناختی[۲۰۷]
نوعی از عدمقطعیت است که در نتیجۀ کمبود دانش در مورد یک سیستم، روی میدهد و از ویژگیهای عملکرد تحلیلگران، در هنگام تجزیه و تحلیل است و با عنوانهای عدمقطعیت ذهنی، عدمقطعیت نوع B، عدمقطعیت ناشی از دانش، جهل و عدمقطعیت تقلیل پذیر، شناخته می شود (هلتون، ۱۹۹۷، به نقل از سنتز و فرسون[۲۰۸]، ۲۰۰۲).
در دهههای اخیر، نظریه های ریاضی مختلفی برای اقدام در شرایط عدمقطعیت و اطمینان ابداع شده و تعمق یافتهاند که برخی از آنها عبارتاند از: نظریۀ کلاسیک مجموعهها (اکزل، فورت و نگ[۲۰۹]، ۱۹۷۴)، نظریۀ مجموعههای فازی (دوبویس[۲۱۰]، ۱۹۸۰)، نظریۀ احتمال (اکزل و همکاران، ۱۹۷۴؛ اش[۲۱۱]، ۱۹۷۲)، نظریۀ امکان (پرید و دوبویس، ۱۹۸۷)، نظریۀ شواهد دمپستر_شیفر (شیفر، ۱۹۷۶)، نظریۀ مجموعههای تصادفی (نگوین[۲۱۲]، ۱۹۸۷)، نظریۀ اندازه های فازی (کلمنت[۲۱۳]، ۱۹۸۰)، نظریۀ احتمال پیشامدهای فازی (زاده، ۱۹۶۸)، نظریۀ دمپستر_شیفر فازی شده (پرید، ۱۹۸۱).
برخی از این نظریه ها فقط یک نوع خاص از عدماطمینان و نظریه های عمومیتر (مانند نظریه شواهد دمپستر _ شیفر) بیش از یک نوع عدم اطمینان را در بر میگیرند؛ به این معنی که جنبه های مختلف نقض اطلاعات وابسته به یک مسئله را مورد توجه قرار می دهند. در مورد اینکه در زمانی که تحلیلگران با عدمقطعیت مواجه هستند از کدام تئوری و چارچوب استفاده نمایند، باید به سطح توسعۀ تئوری، استفاده و موارد کاربرد آن تئوری در مباحث علمی پرداخت. گرچه پرداختن به موارد مختلف عدماطمینان در این نوع نظریه ها، پیچیدگی محاسباتی زیادی را در بر خواهد داشت، اما میتوان برای موارد متفاوت عدماطمینان، نظریه های متفاوتی را در مراحل مختلف حل مسئله در نظر گرفت.
برای نمایش عدمقطعیت شناختی، از تئوری احتمال، تئوری دمپستر _ شیفر، تجزیه و تحلیل بازهها، تئوری امکان و مجموعههای فازی استفاده می شود. مزیت تئوری دمپستر _ شیفر این است که با بهره گرفتن از آن میتوان، عدمقطعیت شناختی را بررسی و کمی کرد. در بحث بررسی عدمقطعیت، آنتروپی نیز کاربرد دارد، در واقع آنتروپی یک اندازۀ کمی از عدمقطعیت ارائه میدهد و اخیراً آنتروپی فازی با الهام از آنتروپی شانون، برای تعیین عدمقطعیت ناشی از کمبود اطلاعات و حل مشکلات تصمیم گیری پیشنهاد شده است (پاشا، مصطفایی، خلج و خلج[۲۱۴]، ۲۰۱۳).
بنابراین با توجه به مطالب مطرح شده، همچنین پیچیدگی ذاتی و عدم امنیت در تجارت الکترونیک از یک سو و مشارکت تعداد زیادی از کارشناسان در تصمیم گیری چندمعیاره از سوی دیگر، یک عدمقطعیت در زمینۀ ارزیابی مسائل کلیدی در امنیت تجارت الکترونیک وجود دارد که سبب ایجاد نیاز برای استفاده از روشهای متداول ارزیابی، در شرایط عدمقطعیت می شود؛ براین اساس در پژوهش حاضر، از روشهای، آنتروپی شانون، فازی و تئوری دمپستر _ شیفر استفاده شده است که در ادامه به طور مختصری به بررسی آنها میپردازیم.
آنتروپی شانون:
به طور کلی دو روش عینی و ذهنی برای تعیین وزن به کار میرود؛ وزندهی ذهنی براساس ترجیحات و قضاوتهای ذهنی تصمیم گیرنده است، در حالی که وزندهی عینی از ارزشهای مشاهده شده ناشی میگردد (لی، وو و لای[۲۱۵]، ۲۰۱۳). روشهای مختلفی در زمینۀ وزندهی مطرح است که یکی از روشها در این حوزه، فرایند تحلیل سلسله مراتبی است؛ علیرغم مزایایی که برای فرایند تحلیل سلسله مراتبی بیان می شود، این روش به دلیل بیتوجهی به عدمقطعیت و مبهم بودن اطلاعات حاصل از نظر تصمیم گیرندگان، نقد شده است (دنگ[۲۱۶]، ۱۹۹۹)؛ بنابراین در پژوهش حاضر از آنتروپی شانون به منظور تعیین وزن استفاده شده است. لازم به ذکر است که آنتروپی علاوه بر رشته های مهندسی، درسایر شاخه های علمی نظیر ریاضی، آمار، فیزیک، اقتصاد، حسابداری، زبان، روانشناسی، نظریۀ مجموعههای فازی و علوم کامپیوتر کاربرد دارد (محتشمی، ۲۰۰۴).
هارتلی (۱۹۲۸)، نخستین فردی بود که تعاریفی از اطلاع، در مهندسی ارتباطات ارائه داد و بیشک کلود. ای. شانون (۲۰۰۱-۱۹۱۶) پدر نظریۀ اطلاع میباشد؛ او برای نخستین بار ارتباط را به عنوان یک مسئلۀ ریاضی در نظر گرفت و به مهندسین ارتباطات، راه تعیین ظرفیت یک کانال ارتباطی را داد. به طور کلی این باور وجود دارد که نظریۀ اطلاع، با انتشار مقالۀ شانون (۱۹۴۸)، تحت عنوان نظریۀ ریاضی ارتباطات، نظم یافت. او با تعریف ریاضی آنتروپی و با کاربرد آن در یک منبع اطلاعاتی، موفق شد گنجایش مورد نیاز کانال را برای انتقال اطلاعاتی که به صورت ارقام در پایۀ ۲ کد گذاری شده بودند، تعیین کند؛ در واقع اطلاع شانون، اندازۀ اطلاع موجود در یک پیام است. امروزه آنتروپی جایگاه ویژهای در مباحث قابلیت اعتماد یافته است (اسدی و ابراهیمی،۲۰۰۰) و شانون اندازه گیری کمی از عدمقطعیت را به همراه توزیع احتمال از متغیر تصادفی در نرمهای آنتروپی را تعریف می کند (معظم نیا و بنکداری، ۱۳۹۳).
لازم به ذکر است که هرگاه در آنتروپی صفر باشد، صفر در نظر گرفته می شود؛ ویژگیهایی که باعث می شود آنتروپی را یک معیار عدمقطعیت بدانیم عبارتند از:
الف)
آنتروپی هیچگاه منفی نیست، اما امکان دارد صفر باشد. آنتروپی صفر می شود، اگر و تنها اگر قطعیت کامل وجود داشته باشد؛ یعنی همۀ احتمال سیستم به یک پیشامد اختصاص یافته باشد.
ب) همواره و برابری، تنها در زمانی رخ میدهد که: باشد.
پاسخ ها