با توجه به تهدیدهای زیادی کـه امـروزه در محـیط هـای سـایبری وجـود دارد، سـازمان هـا بـه کنترل های امنیتی برای محافظت از اطلاعات با ارزش خود نیاز دارند. براسـاس دیـدگاه هـون والوف (2002)، بی شک یکی از کنترل های مهم، سیاست امنیت اطلاعات است. در همـین راسـتا،وایتمن، تاوزند و آلبرتز (2001) بیان کردند توسعه سیاست امنیت اطلاعات، اولین گـام در جهـتآماده شدن سازمان در برابر حملات منابع داخلی و خارجی است (هـون و الـوف، 2002؛ وایـتمن،تاوزند و آلبرتز، 2001، به نقل از کنپ، موریس، مارشال و برد، 2009).
از جهتی دیگر، به منظور اثربخشی مدیریت امنیت، باید عوامل فنی و اجتماعی به طور هم زمان در نظر گرفته شوند. درواقع سیاست های امنیتی، این عناصر را در برنامه منسـجمی کـه سـازمانبرای اجرای امنیت به کار می برد، ادغام میکند (پارکر، 1998؛ بارمن، 2002؛ بسکرویل و سیپونن، 2002؛ گول، پون و منزیس، 2006، به نقل از گول و چنگالر اسمیت، 2010).
مشخصات زیرساخت ها و پیاده سازی مباحث امنیتی
رشد تجارت الکترونیک، نیازمند زیرساخت های انعطاف پذیری اسـت کـه مـی تـوان آنهـا را در دوحوزه خرد و کلان در نظر گرفت. حوزه کلان مختص به زیرساخت هایی اسـت کـه بایـد آنهـا را دولت فراهم کند و حوزه خرد زیرساخت هایی را شامل می شود که هر سازمان به طور جداگانه باید برای خود فراهم می کنند؛ اما متأسفانه کشورهای در حال توسعه، معمولاً با کمبود زیرساخت های ارتباطی خوب مواجه اند . درنتیجه مردم و کسب وکارها در کشورهای در حـال توسـعه نمـی تواننـدبدون زیرساخت های کافی در تجارت الکترونیک سرمایه گذاری کننـد (آلجفـری، پـونز و کـالینز،2003).
آزمایشهای امنیتی در تجارت الکترونیک
آزمایش های امنیتی بهمنظور بررسی اثربخشی زیرساخت های امنیتـی، عملکـرد سـازوکار کنتـرلدسترسی، زمینه عملیاتی مشخص شده و آسیبپذیری هـای شـناخته شـده در زیرسـاختهـا اجـرا میشوند و به سازمان ها در شناسایی ضعفهای سیستم تجارت الکترونیک خود کمک مـی کننـد.
بهطورکلی، می توان دو نوع آزمایش را در زمینه امنیتی نام برد: آزمایش پذیرش و آزمـایش نفـوذ. در آزمون پذیرش بررسی میشود که زیرساخت های امنیتی به اجرا درآمده منطبق بر سیاست های امنیتی سازمان است یا خیر و در آزمایش نفوذ به این موضوع پرداخته میشود که زیرساخت هـایامنیتی موجود برای دفع تمام تهدیدهای امنیتی ممکن تا چه اندازه کافی است (سنگوپتا، مزومدار و باریک، 2005).
عدم قطعیت
تصمیم گیری در وضعیت عدم قطعیت یکی از مسائل مهم در حـوزه سیسـتم هـای کنتـرل و خبـرهاسـت؛ از ایـن رو عامـل پیچیـده توسـعه پشـ تیبانی تصـمیم و سیسـ تمهـای کارشناسـی، بررسـی قضاوت های غیرقطعی است. در سال های اخیر مجامع علمـی و مهندسـی تعـاریف سـودمندی ازعدم قطعیت ارائه دادند. ماهیت دوگانه عدم قطعیت با تعاریف زیر از هلتـون (1997)، بیـان شـدهاست:
عدم قطعیت نامعلوم1؛ در نتیجه این واقعیت است که سیستم می تواند بهطور تصادفی عمـلکند.
عدم قطعیت معرفت شناختی2؛ در نتیجه کمبود دانش درباره سیستمی خاص روی میدهـد واز ویژگیهای عملکرد تحلیلگران، هنگام تجزیه وتحلیل اسـت (هلتـون، 1997، بـه نقـل ازسنتز و فرسون، 2002).
تئوری دمپستر ـ شافر
در زمان عدم قطعیت، ادغام داده ها اهمیت بسیاری دارد که برای این منظور تئوری بیزین، منطق فازی و تئوری شواهد روش های مؤثری شناخته شده اند. توافق عـام ی در زمینـه کـاربرد جهـانی
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
Aleatory Uncertainty
Epistemic Uncertainty
روش ها وجود ندارد، اما تئوری دمپستر ـ شافر یکی از تئوریهای محبـوب شـمرده مـی شـود کـه برای مدل سازی و استدلال هنگام عدم قطعیت و دقت، در سیستم های هوشمند به کار میرود. در نظریه دمپستر ـ شافر، قاعده ترکیب دمپستر، ابزار قدرتمندی است که برای ترکیب شواهد از منابع اطلاعاتی متمایز اهمیت بسزایی دارد (هیون، 2009) و ابـزار بـالقوه ای اسـت کـه بـرای ارزیـابیریسک و قابلیت اعتماد در کاربردهای مهندسی، هنگام امکان ناپـذیربودن انـدازه گیـری د قیـق ازآزمایش ها و به دست آمدن دانش از استنباط متخصصان، استفاده می شود. یکی از جنبه هـای مهـماین نظریه، ترکیب شواهد به دست آمده از منابع مختلف و مدل سازی تعارض بین آنهاست (سنتز و فرسون، 2002).
پیشینه تجربی پژوهش
در اینجا به برخی از مطالعات تجربی درباره موضوع پژوهش اشاره میشود.
موسوی، یوسفی زنوز و حسن پور (1394)، پژوهشی را با عنوان »شناسایی ریسک های امنیت اطلاعات سازمانی با استفاده از روش دلفی فازی در صنعت بانکداری« اجـرا کردنـد. هـدف ایـنپژوهش، شناسایی مهم ترین ریسکهای امنیت اطلاعات سازمانی بود. آنان برای این منظـور بـامطالعه اسنادی و به کمک روش دلفی فازی و نظـر خبرگـان (10 متخصـص فنـاوری اطلاعـاتبانک)، الگویی براساس استاندارد ایزو و چارچوب کوبیت 4 ارائه کردنـد و بـر ایـن اسـاس شـششاخص و 20 زیرشاخص ریسک امنیت اطلاعات سازمانی برای بانک شناسایی شد.
منوریان، مانیان، موحدی و اکبری (1393) پژوهشی را با عنوان »بررسی عوامل تأثیرگذار بـرتوسعه تجارت الکترونیکی (مطالعه موردی بنگاه های کوچک و متوسط تهران)« اجرا کردند. ایـنپژوهش در پی پاسخ گویی به این مسئله اصلی است کـه مـدل پـذیرش تجـارت الکترونیکـی دربنگاه های کوچک و متوسط چگونه است و عوامل مؤثر بـر توسـعه تجـارت الکترونیکـی در ایـنبنگاه ها چیست؟ در این زمینه، مراحـل رشـد تجـارت الکترونیـک در دو سـطح پـذیرش اولیـه و نهادینهکردن در نظر گرفته شده است.
پژوهشی در زمینه ارزیابی امنیـت در تجـارت الکترونیـک بـا بهـرهمنـدی از روشAHP 1 و تئوری شواهد دمپستر ـ شافر اجرا شد (ژانگ، دنگ، ویی و دنـگ، 2012). در ایـن مطالعـه روشجدیدی بهمنظور کمک به تشخیص امنیت در تجارت الکترونیک براساس AHP و تئوری شواهد دمپستر ـ شافر (DS) مطرح شد و کارایی مدل ارائهشده با مثالی گویا به اثبات رسید.
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
1. Analytic Hierarchy Process
لیو (2011) در زمینه تعیین امنیت سیستم تجارت الکترونیک براسـاس ارزیـابی جـامع روشتجزیهوتحلیل رابطه خاکستری1 مطالعـه کـرد. وی در ایـن مطالعـه بـه بررسـی تصـمیمگیـریچندشاخصه (MADM ) برای ارزیـابی مشـکلات امنیتـی سیسـتم هـای تجـارت الکترونیـک بـااطلاعات نامشخص پرداخت و براساس روش تجزیهوتحلیل رابطه خاکسـتری ، مراحـل محاسـبه حل مشکلات ناشی از تصمیمگیری چند شاخصه با وزن های کاملاً مشخص از اطلاعات داده شده را نشان داد.
کرافت و کاکار (2009 ) در پژوهشی با عنوان »امنیـت در تجـارت الکترونیـک« بـه ارزیـابیامنیـت تجـارت الکترونیـک پرداختنـد. در ایـن مقالـه بـرای اولـین بـار رونـدهای اخیـر بـازار در کسبو کارهای الکترونیکی و اهمیت تجارت الکترونیک در بازارهای خرده فروشـی بررسـی شـدهاست و علاوه بر شیوه های فعلی، گرایش های تجارت الکترونیک، از جمله حفظ حریم خصوصی و جنبه های امنیتی بررسی و مستند شده است.
مرت هاگن، آلبرتسن و هودن (2008) پژوهشی در زمینه پیـاده سـازی و اثربخشـی اقـداماتامنیت اطلاعات سازمانی اجرا کردند. هدف این مطالعه پیاده سازی اقـدامات امنیـت اطلاعـات درسازمان های نروژی و ارزیـابی ایـن اقـدامات بـود . آنهـا بـرای اجـرای ایـن پـژوهش از سیسـتمنظرسنجی آنلاین بهره بردند و پرسشنامهها را از طریق ایمیل بـه 658 نفـر از مسـئولان امنیـتاطلاعات در سازمان های جامعه هدف (نروژ) ارسال کردنـد . نتـایج ایـن مطالعـه نشـان داد بـیناقدامات امنیت اطلاعات سازمان و ارزیابی اثربخشی اقدامات امنیت سازمان، رابطـه ای معکـوسوجود دارد. درواقع این مطالعه در زمینه اقدامات غیرفنی امنیت بینشی ایجاد کرد.
تیوکالا، پوتاس و ون دی هار (2006) به بررسی پروفایل امنیت اطلاعات سازمانی پرداختنـد .
آنان چارچوبی برای تسهیل اداره اطلاعات امنیتی در سازمان ارائه کردند و سپس به اندازه گیـریسطح بهره وری امنیت اطلاعات پرداختند. هدف این مطالعه، معرفی سازوکاری بـه نـام پروفایـلامنیت اطلاعات سازمانی2 بود.
سنگوپتا و همکارانش (2005) در پژوهشی با عنوان »امنیت تجـارت الکترونیـک بـا رویکـردچرخه عمر« به بررسی مسائل امنیت داراییها و معـاملات در مؤلفـه هـا و فعالیـت هـای تجـارت الکترونیک پرداختند. این مقاله پس از بررسی فناوری اسـتفاده شـده در تجـارت الکترونیـک، بـهسمت شناسایی نیازهای امنیتی سیستمهای تجارت الکترونیک در مقابل آسیب هـا و تهدیـدهایدرک شده می رود.
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
Grey Relational Analysis
The Organizational Information Security Profile(OISP)
با توجه به مطالعات پیشین، در این پژوهش محقق تلاش میکند ساختاری توسعه یافته برای معیارهای امنیتی مطرح در تجارت الکترونیک ارائه دهد. در کنار آن، هدف محقـق انـدازه گیـریسطح امنیت تجارت الکترونیک به کمک روش محاسبه مناسبی است که مقالـ ه هـای منتشرشـدهاندکی در این زمینه وجود دارد. شایان ذکر اینکـه ترکیـب سـاختار و روش هـای ارائـه شـده ایـنپژوهش، در هیچ یک از پژوهش های پیشین مشاهده نشده و تا کنون در این زمینه هیچ پـژوهشداخلی صورت نگرفته است.
روش شناسی پژوهش
پایه هر علم، شناخت آن است و ارزش قوانین هر علمی به روش شناسی ای مبتنی است که در آن علم به کار می رود. از این رو روش پژوهش مجموعه ای از قواعد، ابزار و راه های معتبر و نظام یافته برای بررسی واقعیت ها، کشف مجهولات و دستیابی به راهحل مشکلات است.
پژوهش حاضر از نظر هدف، کاربردی و از نظر روش پیمایشی ـ توصیفی است. بـا توجـه بـهاینکه پژوهش حاضر مبتنی بر تیم تصمیم به منظور تهیه داده هاست، برای تعیین حجم نمونه مـدنظر ابتدا فهرست تمام شرکت های بازرگانی ثبت شده در اتاق بازرگانی مشهد تهیه شد. از آنجا که مشخص نبود این شرکت ها فعالیت تجارت الکترونیک دارند یا خیر، با همه آنها تماس گرفته شد و در نهایت 9 شرکت اعلام کردند در سطح قابل قبـولی فعالیـت تجـارت الکترونیـک دارنـد کـهبه عنوان جامعه پژوهش در نظر گرفته شدند. از این تعداد به دلیل نگرانی های امنیتـی تنهـا چهـار شرکت حاضر به همکاری شدند، در نتیجه داده هـای پـژوهش از تـیم تصـمیم 12 نفـر ه اعضـایشرکت های بازرگانی شهر مشهد، شامل مـدیرعامل، کارشـناس بازرگـانی و کارشـناس فنـاوریاطلاعات جمع آوری شد. برای این منظور از پرسشنامه و مصاحبه استفاده شده اسـت . درمجمـوع چهار پرسشنامه برای دنبال کردن اهداف زیر تهیه شد:
پرسشنامه 1؛ به منظور تأیید ساختار ارائه شده و مصاحبه در زمینـه معیارهـای ارزیـابی سـطحامنیت در تجارت الکترونیک تهیه شد و در اختیار پنج تـن از اسـتادان فعـال حـوزه امنیـت قـرارگرفت.
پرسشنامه های 2 و 3؛ به منظور تعیین وزن معیارهـای مطـرحشـده در حـوزه امنیـت تجـارت الکترونیک تدوین شدند. یکی از پرسشنامهها بر اساس مقیاس نه تایی ساعتی تهیه شد کـه در آنهدف مقایسه دوبه دوی معیارها و تعیین ارجحیت آنها بود. در پرسشنامه دیگر که بـه صـورت بـازطراحی شد، تنها از پاسخ دهنده درخواست شد وزن هر یک از متغیرهای هـم گـروه را نسـبت بـهیکدیگر تعیین کند.
پرسشنامه 4؛ به منظور اجرای مصاحبه تهیه شد و طراحی آن براساس نیاز محاسباتی و ادبیات موضوع بود. هدف در این پرسشنامه تعیین سطح امنیت معیارهای مطرح در حوزه امنیت تجـارتالکترونیک بود. بنابراین با توجه به هدف مد نظر، سطح امنیت هـر معیـار در مقیـاس ده امتیـازی درجهبندی و تعیین شد.
روایی ابزار پژوهش
در پژوهش حاضر، پرسشنامه ها نوعی اعتبار منطقی و محتوایی دارنـد کـه بـه روش بـه کاررفتـهمربوط می شود. در روش مقایسه های زوجی باید تمام عوامل با هم سنجیده شـو ند و ایـن عمـلتمام احتمالات در نظرگرفته نشدن یک معیار یا سؤال را از بین می بـرد، عـلاوه بـر ایـن در سـایرپرسشنامه ها نیز تمام معیارها بررسی و ارزیابی شدند. بنابراین، احتمال در نظر گرفتهنشدن معیارها در آنها نیز مردود است. همچنین روایی صوری و محتوایی پرسشنامه ها براساس نظـر اسـتادان و اعضای گروه تصمیم تأیید شده است، از این رو می توان گفت که ابـزار جمـعآوری اطلاعـات دراین پژوهش اعتبار صوری و محتوایی دارد.
پایایی ابزار پژوهش
با توجه به نوع پرسشنامههای تهیه شده، می توان گفت پرسشنامه ها تمـام معیارهـا و گزینـه هـا رامی سنجند. به بیانی دیگر، بیشترین سؤال های ممکن بـا سـاختاری مطلـوب از مخاطـب پرسـیده میشود. با در نظر گرفتن اینکه تمام معیارها بررسی شدند و طراح قادر به جهتگیری خاصـی درطراحی پرسشنامه نیست و علاوه بر این به منظور تعیین سطح امنیت معیارها مصاحبه بهعمل آمد و با استفاده از روش های فازی و دمپستر ـ شافر سطح کلـی امنیـت تعیـین شـد و خروجـی هـای به دستآمده از نظر منطقی درست بود؛ پایایی ابزار اندازه گیری در این پژوهش از روشهای کمی بهره نمیبرد، بلکه اعتبار ارزیابی ارزیابان، ملاکی برای پایایی ابزار اندازه گیری محسـوب خواهـدشد. اما در پرسشنامه مقایسههای زوجی که براساس مقیاس ساعتی است، به منظور بررسی پایایی پرسشنامه از درصد سازگاری استفاده میشود. از این رو شاخص سازگاری CI برای انـدازه گیـریناسازگاری در ماتریس مقایسه های زوجی (زمانی که از AHP گروهی برای ترکیـب مـا تریسهـااستفاده می کنیم) بهکار می رود که به صورت زیر تعیین می شود:
(−)
رابطه 1)

در این سایت فقط تکه هایی از این مطلب با شماره بندی انتهای صفحه درج می شود که ممکن است هنگام انتقال از فایل ورد به داخل سایت کلمات به هم بریزد یا شکل ها درج نشود

شما می توانید تکه های دیگری از این مطلب را با جستجو در همین سایت بخوانید

ولی برای دانلود فایل اصلی با فرمت ورد حاوی تمامی قسمت ها با منابع کامل

اینجا کلیک کنید

= سپس درصد سازگاری یا CR، از طریق

CR= CIRI محاسبه میشود. اگر نتیجـهCR کمتـر از
1/0 باشد، سازگاری ماتریس M قابل قبول است.
شکل 1 فرایند پژوهش را به نمایش گذاشته است.

شکل

1
.
پژوهش

انجام

فرایند

1
.
مناسب

ساختار

و

مطرح

معیارهای

تعیین

3
.

طریق

از

الکترونیک

تجارت

امنیت

سطح

تعیین
شافر

ـ

دمپستر

و

فازی

تئوری

2
.
معیارها

از

هریک

وزن

میزان

تعیین

طریق

از
شانون

آنتروپی

شکل

1

.

پژوهش

  • 1

پاسخ دهید