تعریف جامع و کامل امنیت

امنیت

با پیشرفت سریع فناوری اطلاعات و جایگزینی تجارت آنلاین (تجارت از طریق اینترنت) با تجارت سنتی، مسائل مربوط به امنیت، به ویژه برای کسب و کارها در محیط تجارت الکترونیک، اهمیت یافته است. با توجه به نقش محوری فناوری اطلاعات[1] در شرکت­های امروزی و اهمیت اطلاعات به عنوان دارایی­های ارزشمند یک سازمان، امنیت اطلاعات به یکی از مؤلفه­های کلیدی مدیریت و برنامه­ریزی، در شرکت­های مدرن تبدیل شده است. البته موضوع امنیت داده و اطلاعات، پیش از اختراع کامپیوتر نیز مطرح بوده و با گذشت زمان بر اهمیت آن افزوده گردیده است. از آن­جایی که معاملات الکترونیک، در حال جایگزینی با معاملات مبتنی بر کاغذ هستند و بیشتر داده­ها و اطلاعات ارزشمند، در یک رسانۀ الکترونیکی ذخیره می­شوند، می­توان گفت این موضوع نیز مفهوم جدیدی نیست، اما در عصر دیجیتال اهمیت بیشتری

 

یافته است (بیسواز[2]، 2011). کرونین (1995)، بر این باور است که مسائل خصوصی، مانند امنیت، سانسور و استراق سمع می­تواند ارتباطات را سست نماید، درنتیجه می­توان امنیت را به عنوان پایه­ای برای یکپارچگی و رشد کسب و کار الکترونیکی به شمار آورد (کرونین 1995، به نقل از آلجفری، پونز و کالینز[3]، 2003).

در بیان تعریف امنیت می­توان گفت که امنیت، به مجموعۀ تدابیر، روش­ها و ابزارها برای جلوگیری از دسترسی و تغییرات غیرمجاز در نظام رایانه­ا­ی اطلاق می­شود و امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن خطر افشای آنها در بخش­های غیرمجاز اشاره دارد. از این رو استانداردهای امنیتی به دو دستۀ اصلی تقسیم می­گردند: دسته اول، مرتبط با امنیت از لحاظ فنی و دسته دوم مرتبط با امنیت از لحاظ مدیریتی است (قاسمی شبانکاره و همکاران، 1386). از سوی دیگر تهدید امنیتی، به شرایط، موقعیت یا رویدادی اطلاق می­شود که به طور بالقوه می­تواند عامل مشکلات اقتصادی برای منبع داده­ها یا شبکه، در حالت تخریب، افشا، ویرایش داده­ها، محرومیت از خدمات یا تقلب و سوء استفاده باشد (بلانگر و همکاران، 2002). البته در کنار مباحثی مانند تهدید امنیتی، ایمن­سازی نیز مطرح است که شامل کلیۀ رفتارهایی است که برای تبدیل شرایط موجود به شرایط امن، یا مراقبت از تداوم امنیت انجام می­شود. با توجه به روش­های حفاظت و تشخیص، می­توان دو رویکرد کلی را در فرآیند ایمن­سازی شناسایی کرد:

  • ایمن­سازی پیشینی: معتقد است که پیش از بروز هرگونه خطر، باید تمام راه­های محتمل برروی آن بسته شود.
  • ایمن­سازی پسینی: در این دیدگاه خطرات و تهدیدات را تا مادامی که فعال نشده­اند، نادیده می­گیرد و در انتظار بروز مقدمات یک حادثۀ واقعی است. در صورت بروز چنین علائمی، سیستم حفاظتی به طور واکنشی برای جلوگیری از نقض امنیت فعال می­شود (جعفری، 1385).
مطلب مشابه :  جرأت­ورزی در نظریات روان­شناسی

با این تعاریف، یک سیستم امنیتی می­بایست برای کاربردهای تجاری طراحی گردد. البته بیشتر اجزای زیربنایی، برای حفاظت از کاربردها می­باشند؛ بنابراین، برنامۀ امنیتی سازمان باید چندین لایۀ مختلف حفاظت، بین حمله کنندگان بالقوه، داده­ها و سیستم­های مهم داشته باشد. تصمیمات امنیتی در همۀ سطوح سازمان صورت می­گیرد؛ در سطوح تاکتیکی و عملیاتی یک سازمان، تصمیم­گیری برروی بهینه­سازی منابع امنیتی تمرکز دارد و آن ترکیبی جامع از برنامه­های کارکنان، رویه­ها، رهنمودها و تکنولوژی­هایی است که میزان از دست دادن و خسارت را به حداقل می­رسانند (اندرسون و چوبینه[4]، 2008).

از سوی دیگر در حوزۀ پیاده­سازی یک سیستم امنیتی، بحث مدیریت امنیت مطرح می­گردد؛ در این بحث، به استانداردهایی از جمله ISO17799، اشاره می­شود که این استانداردها توضیح می­دهند که در مدیریت امنیت اطلاعات، باید چه اصولی مورد توجه قرار بگیرد. اما مشکل مکرر در این گونه استانداردها، این است که این استانداردها فرآیند هدایت مدیریت امنیت را ارائه نمی­دهند و تنها یک چک لیست ارائه می­کنند (زوکاتو، 2007).

 

 

 

با توجه به موارد مذکور، در این پژوهش به منظور پوشش­دهی همۀ جوانب امنیتی در تجارت الکترونیک، امنیت در یک چرخۀ عمر مطرح گردیده است که شامل معیارهای اصلی و زیرمعیار می­باشد؛ در این فصل به بررسی آنها می­پردازیم و عوامل مطرح در آنها را به طور مختصر تشریح می­نماییم. لازم به ذکر است که در این چرخه، چهار معیار اصلی در حوزۀ امنیت تجارت الکترونیک در نظر گرفته شده است که شامل الزامات امنیتی، سیاست­های امنیتی، مشخصات زیرساخت­های امنیتی و پیاده­سازی و در نهایت تست­های امنیتی می­باشد و هریک از این معیارهای اصلی، دارای زیر معیارهایی هستند که مورد بررسی قرار خواهند گرفت.

مطلب مشابه :  تمرینات مقاومتی گروهی

[1] Information Technology

[2] Biswas

[3] Aljifri, Pons & Collins

[4] Anderson & Choobineh