فایل ورد کامل مقاله امنیت در تجارت الکترونیک؛ بررسی علمی تهدیدات سایبری و راهکارهای حفاظت از داده‌ها

توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد

 فایل ورد کامل مقاله امنیت در تجارت الکترونیک؛ بررسی علمی تهدیدات سایبری و راهکارهای حفاظت از داده‌ها دارای ۲۱ صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است

فایل ورد فایل ورد کامل مقاله امنیت در تجارت الکترونیک؛ بررسی علمی تهدیدات سایبری و راهکارهای حفاظت از داده‌ها  کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه  و مراکز دولتی می باشد.

توجه : در صورت  مشاهده  بهم ریختگی احتمالی در متون زیر ،دلیل ان کپی کردن این مطالب از داخل فایل ورد می باشد و در فایل اصلی فایل ورد کامل مقاله امنیت در تجارت الکترونیک؛ بررسی علمی تهدیدات سایبری و راهکارهای حفاظت از داده‌ها،به هیچ وجه بهم ریختگی وجود ندارد

بخشی از متن فایل ورد کامل مقاله امنیت در تجارت الکترونیک؛ بررسی علمی تهدیدات سایبری و راهکارهای حفاظت از داده‌ها :

امنیت در تجارت الکترونیک

مدیریت سیستمهای امنیت اطلاعات

مقدمه
گرچه بحث دسترسی به اطلاعات و از سوی دیگر امنیت و حفاظت از اطلاعات در سطح کشوری برای حکمرانان از زمانهای قدیم مطرح بوده و دستیابی به اطلاعات نظامی و کشوری گاه موجب نابودی قومی می شده است اما با توسعه فناوری اطلاعات و استفاده از اطلاعات به عنوان یک ابزار تجاری و سرمایه سود آور، بحث امنیت اطلاعات بعد جدیدی به خود می گیرد.

در تجارت امروز، اطلاعات نقش سرمایه یک شرکت[۱] را ایفا می کند و حفاظت از اطلاعات سازمان یکی از ارکان مهم بقای آن می باشد. جهانی شدن اقتصاد منجر به ایجاد رقابت در سطح جهانی شده و بسیاری از شرکتها برای ادامه حضور خود در عرصه جهانی، ناچار به همکاری با سایر شرکتها هستند. به این ترتیب، طبقه بندی و ارزش گذاری و حفاظت از منابع اطلاعاتی سازمان ( چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم بشمار می رود. سیستم مدیریت اطلاعات ابزاری است در جهت طراحی پیاده سازی و کنترل امنیت نرم افزار و سخت افزار یک سیستم اطلاعاتی(Pipkin, 2000)
مسایل امنیتی در تجارت الکترونیکی

اینترنت به عنوان بستر انتقال اطلاعات در دنیای کنونی مطرح است. TCP/IP پروتکل انتقال اطلاعات در شبکه اینترنت است. با مطرح شدن اینترنت به طور گسترده، مسئله امنیت اطلاعات قابل انتقال، به شکل مشخصی بازگو شد زیرا اطلاعات مهم نیز از طریق این بستر فرستاده می شد. اطلاعاتی مثل، شماره کارت اعتباری، فرم پرداخت و غیره از جمله مسایلی بود که احتیاج به امنیت بیشتری داشت. به همین دلایل امنیت در تجارت الکترونیکی جایگاه مهمی داراست.

به چند روش می توان در اطلاعاتی مداخله کرد که بین دو کامپیوتر مبادله می گردد و این روشها عبارتند از [۶,:۹]
۱ – استراق سمع: اطلاعات توسط فردی خوانده می شود و می تواند بعداً مورد استفاده قرار گیرد. مثل شماره حساب یک فرد، در این حالت محرمانه بودن اطلاعات از بین می رود؛

۲ – تغییردادن پیام: امکان دارد پیام هنگام انتقال تغییر کند و یا کلاً عوض شود و سپس فرستاده شود. مثلاً سفارش کالا می تواند تغییر یابد؛
۳ – تظاهرکردن: ممکن است شخصی خود را به جای یک سایت معرفی کرده و همان اطلاعات را شبیه سازی کند و پس از دریافت مقادیر قابل توجه هیچ پاسخی به خریداران نداده و ناپدید گردد.

روشهای متفاوتی برای جلوگیری از این مسایل وجود دارد که یکی از آنها رمزدار کردن پیام است که خود به چند دسته تقسیم می گردد. دیگری درهم سازی و فشرده سازی پیام و تهیه DIGEST است. در امضای دیجیتالی عملاً تلفیقی از این روشهــا مـــورد استفـاده قرار می گیرد. انواع روشهای رمزنگاری بدین شرح است:
! رمزنگاری با کلید متقارن: در این روش از یک کلید استفاده می شود. بدین شکل که یک کلید مشترک بین طرفین وجود دارد. اطلاعات بااین کلید رمزدار شده و فقط توسط طرف مقابل که دارنده کلید است قابل بازگشایی است. مشکل این روش تبادل این کلید قبل از رمزدارکردن پیام است.

! رمزنگاری با کلید نامتقارن یا کلید عمومی: در این روش یک جفت کلید برای انتقال پیام استفاده می گردد. به این شکل که هرکاربر دارای یک کلید عمومی و یک کلید خصوصی است. کلید عمومی در یک دایرکتوری در اختیار هرکس می تواند قرار گیرد و کلید خصوصی هر فرد را، فقط خودش می داند. در ارسال پیغام از A به B ، ابتدا A پیام را با کلید خصوصی خود رمزدار کرده سپس با کلید عمومی پیام را ارسال می کند.

در طرف مقابل B پیام را با کلید عمومی رمزگشایی کرده و سپس با کلید خصوصی خود رمز را باز می کند و پیغام را مشاهده می کند. اشکال این روش این است که شخص ثالثی مانند C می تواند خود را به جای A معرفی کرده و پیامی را با کلید خصوصی خود و سپس کلید عمومی رمزدار کرده وبرای B ارسال کند. در این روش B نمــی تواند تشخیص دهد که پیغام ارسال شده حتماً از طرف A بوده است. امضای دیجیتالـی به عنوان روشی برای جلوگیری از ایجاد این مشکل به وجود آمده است.

! رمزنگاری بااستفاده از روش کلید عمومی با امضای دیجیتالی:
امضای دیجیتالی همراه با کلید عمومی، موجودیتی است که به شخص طرف مقابل این امکان را می دهد تا تشخیص دهد کسی را که پیغام را فرستـــاده، همان کسی است که ادعا می کند، و پیغام دریافت شده همان پیغام ارسال شده است. (تصدیق اصالت).
در روش امضای دیجیتالی از کلید عمومی همراه با توابع HASH استفاده می شود. این کلید دارای یک تاریخ انقضا نیز هست که هرچه مدت اعتبارش کوتاهتر باشد اعتبار آن بالاتر است زیرا احتمال جعل آن بالا می رود. گیرنده پیغام امضای انجام شده را چک می کند تا از اصالت آن باخبر شود.

مراکزی که امضای دیجیتالی را در اختیار قرار می دهند خود از مراکز دیگری اعتبار گواهینامه را دریافت کرده اند. این مرکز موجودیتی است که اعتبار را برای یک فرد ایجاد می کند. چند نمونه از آنها XCERT ، VENSIGN ، THAWTE هستند که با دریافت وجه مشخصی این اعتبار را در اختیار قرار مـــی

مدیریت امنیت اطلاعات
مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. همچنین مدیریت امنیت وظیفه پیاده سازی و کنترل عملکرد سیستم امنیت سازمان را بر عهده داشته و در نهایت باید تلاش کند تا سیستم را همیشه روزآمد نگه دارد.

هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه های (نرم افزاری، سخت افزاری، اطلاعاتی و ارتباطی و نیروی انسانی) سازمان در مقابل هر گونه تهدید ( اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سیستم و خطرات ایجاد شده از سوی کاربران) است ( دشتی، ۱۳۸۴: ۱۵۹). و برای رسیدن به این هدف نیاز به یک برنامه منسجم دارد. سیستم امنیت اطلاعات راهکاری برای رسیدن به این هدف می باشد.

سیستم امنیت اطلاعات
یکی از وظایف مدیریت امنیت بررسی و ایجاد یک سیستم امنیت اطلاعات است که متناسب با اهداف سازمان باشد. برای طراحی این سیستم باید عوامل مختلفی را در نظر گرفت. محاسبه ارزش اطلاعات از نظر اقتصادی، بررسی خطرات و محاسبه خسارتهای احتمالی و تخمین هزینه- سودمندی استفاده از سیستم امنیت اطلاعات، بررسی تهدیدات احتمالی و بررسی راهکارهای مختلف و انتخاب سودمندترین روش برای طراحی سیستمهای امنیت اطلاعات ضروری بنظر میرسد(Pipkin, 2000).

مجموعه مراحلی که در طراحی یک سیستم امنیت اطلاعات در نظر گرفته
می شود به شرح زیر می باشد:
آشنایی با منابع اطلاعاتی موجود در سازمان: مجموعه منابعی که یک سازمان در اختیار دارد شامل افرادی که در سازمان شاغل هستند، امکانات و سرمایه های مادی، اطلاعاتی و که حوضه های کاری را مشخص می کند و سازمان را از سایر سازمان ها جدا می کند، ساختارها یک سازمان مثل نیروی برق، ارتباطات و تبادلات اطلاعاتی و غیره ; می باشد.

بعلاوه طراح سیستم باید با مجموعه الگوریتمها و نرم افزارهای سیستم اطلاعاتی سازمان، امکانات موجود در سازمان و فرایند تولید و بازیابی اطلاعات و کاربران این اطلاعات آشنایی کامل داشته باشد. آشنایی با منابع مربوط به حوضه اطلاعات یک سازمان موجب درک وضعیت و میزان نیاز به امنیت و چگونگی اعمال راهکارهای امنیتی مناسب با آنها خواهد شد.

• ارزیابی ارزش اطلاعات: قیمت گذاری اطلاعات به دو شکل قابل تخمین(محسوس) و غیر قابل تخمین ( غیر محسوس ) قابل محاسبه است[۲]. اطلاعات موجود در سازمان مورد ارزیابی قرار گرفته و هزینه تولید آن به هر دو شکل باید محاسبه شود. علاوه بر این ضروری است ارزش هزینه تولید و هزینه تولید دوباره اطلاعات در صورت تهدید امنیتی و از بین رفتن اطلاعات محاسبه شود هزینه بازتولید اطلاعات شامل نیروی انسانی، ماشین، تجهیزات و زمانی است که صرف جمع آوری و ورود و هماهنگی اطلاعات خواهد و همچنین مقایسه آن با هزینه ایجاد امکانات حفظ اطلاعات مثل تهیه پشتیبان مناسب و بارگزاری به موقع اطلاعات و همچنین هزینه نرسیدن به موقع اطلاعات در هر یک از این مدل ها موجب می شود مدیریت امنیت اطلاعات سیستمی متناسب با ارزش اطلاعات سازمان طراحی کند(Pipkin, 2000).

• هزینه فاش شدن اطلاعات: مورد دیگری که باید بدقت مورد بررسی قرار گیرد هزینه فاش سازی اطلاعات است اینکه چه اطلاعاتی با فاش شدن صدمات بیشتری به سرمایه های سازمان وارد خواهد کرد و به این ترتیب تعیین سطوح مختلف ارزش اطلاعاتی و سازمان دهی و طبقه بندی اطلاعاتی و هزینه افشا سازی هر یک از سطوح اطلاعاتی مسئله ای است که نباید در طراحی سیستم های اطلاعاتی مورد غفلت قرار گیرد(Pipkin, 2000).

• تهدیدات سیستم اطلاعاتی: مجموعه تهدیداتی که متوجه سیستم اطلاعاتی می باشد به دو صورت کلی می باشد برخی به صورت عمدی ایست مثل کلاهبرداری های اینترنتی، حملات ویروسها و هکرها، و یا به صورت غیر عمدی صورت می گیرد مثل اشتباهات انسانی، مشکل سخت افزاری و نرم افزاری و بلایای طبیعی.

انواع خطرهای تهدید کننده سیستم اطلاعاتی
اشتباه‌های انسانی: که بیشترین میزان خسارات از این طریق به سیستم اطلاعاتی وارد می شود. عدم ارائه آموزشهای مناسب و عدم آگاهی و روزآمدسازی اطلاعات توسط کاربران و تولیدکننده گاه اطلاعات و گاه بی توجهی آنها در کار موجب تحمیل هزینه های سنگین بر سازمان می شود. که با آموزش مناسب بخش مهمی از مسایل مربوط به کاربران اطلاعاتی حل خواهد شد.

بی دقتی و بی توجهی کارمندان نسبت به مسایل امنیتی نیز گاه موجب بروز مشکلات می شود شخصی به عنوان منشی دفتر فنی به کارمندان زنگ زده و می گوید برای رفع مشکل امنیتی نیاز به اسم کاربری و کلمه عبور کارمندان بخش دارد احتمال اینکه از هر ۱۰۰ کارمند تعدادی به این سوال جواب دهند زیاد است.

ممکن است پنجره ای باز شود و بگوید که اتصال شما به شبکه قطع شده برای وصل شدن اسم کاربری و کلمه رمز خود را وارد کنید(احترامی، ۱۳۸۳: ۱۳۸). اینها مثالهایی هستند که در صورت سهل نگاری کاربران شرکت اطلاعات به راحتی در اختیار جاسوسان اطلاعاتی قرار می گیرد. نوع دیگر از خطراتی که توسط کاربران متوجه سازمان است شکل عمدی داشته و در این حالت سازمان باید با تعیین دقیق حدود اطلاعات و نیز دقت در انتخاب کاربران اطلاعاتی صدمات آن را تا حد امکان کاهش دهد.

در جهانی که اطلاعات سرمایه ای برای رقابت سازمانها و شرکتها می باشد، با داشتن امکانات و تجهیزات امنیتی نمی توان مطمئن بود که سیستم امن است، ممکن است مشاور یک شرکت برای رقیب نیز نقش مشاوره داشته باشد در این صورت احتمال فاش شدن اطلاعات سازمان شما وجود دارد. کارمندان خوب، وجود روابط مناسب و خوب در محیط کاری تا اندازه زیادی موجب کاهش این خطرات می شود(Pipkin, 2000).

۱ خطرات ناشی از عوامل طبیعی: سیل، زلزله، آنش سوزی، طوفان، صاعقه و غیره; جز عواملی هستند که هر سیستمی را تهدید می کنند. استفاده از تجهیزات مناسب و ساختمان مقاوم در مقابل بلایای طبیعی و طراحی نظام بازیابی مجدد اطلاعات تا حدی می تواند مشکلات ناشی از آن را کاهش دهد.

۲ . ایرادات سیستمی: مشکلات نرم افزاری و سخت افزاری سیستم ممکن است تهدیدی برای امنیت اطلاعات سیستم محسوب شود. امروزه سیستمهای سخت افزاری و نرم افزاری نسبت به قبل بهتر شده است مشکلات سخت افزاری شامل توپولوژی نامناسب شبکه اطلاعاتی، تجهیزاتی که با هم هماهنگ نیستند، مشکلات مربوط به تجهیزات ارتباطات شبکه(کابلها و مسیریابها ) و قطع و وصل برق و غیره بوده و از مشکلات نرم افزاری می توان به سیستمهای [۳]legacy، holl های موجود در سیستم نرم افزار که امکان حمله های هکرها را بیشتر می کند، عدم هماهنگی میان نرم افزار و سخت افزار اشاره کرد(Pipkin, 2000).

۳ فعالیتهای خرابکارانه: مجموعه فعالیتهایی که توسط انسان یا ماشین در جهت حمله به سیستم اطلاعاتی و تهدید منابع و امکانات و در راستای تخریب، تغییر و یا فاش کردن اطلاعات یک سیستم انجام می شود. فعالیتهای خلاف شامل سرقت سخت امکانات سخت افزاری و نیز فعالیتهایی که به جرایم سایبرنتیکی[۴] معروفند می شود. راهکارهای لازم برای حفاظت از مجموعه امکانات سازمان(جه امکانات و تجهیزات مربوط به سیستم اطلاعاتی و چه سیستم های دیگر سازمان) برای هر سازمان ضروری ایست.

 که دزدی رایانه ای[۵] و کلاهبرداری رایانه ای[۶] به ترتیب با ۱۹و ۱۳ درصد، هکرها با ۱۲ درصد و استفاده نامناسب از اطلاعات و ارائه اطلاعات نامناسب با ۸ درصد در رتبه های بعدی قرار دارند(Bainbridge, 287). کلاهبرداران اطلاعاتی از طریق دست آوردن اطلاعات شخصی و شماره حسابهای افراد از هویت آنها برای اعمال خلاف استفاده کرده و یا دست به دزدی از حسابهای آنها می زنند.

هکرها با گشودن اطلاعات رمز گذاری شده سعی در افشا اطلاعات، حذف یا تغییر در اطلاعات موجود دارند. ویروسها با حمله به کامپیوترها مشکلاتی برای سیستم نرم افزاری رایانه ها ایجاد می کنند[۷] و موجب اختلال در کارایی سیستم می شوند. مجموعه این جرایم در کل موجب فاش شدن غیر مجاز اطلاعات، قطع ارتباط و اختلال در شبکه، تغییر و دستکاری غیر مجاز اطلاعات یا بک پیغام ارسال شده می شود و سیستم های اطلاعاتی بایستی تدابیر امنیتی لازم برای جلوگیری از این آسیبها اعمال کنند.

• اتخاذ سیاستهای امنیتی: بر اساس استاندارد BS7799 [8]i مواردی که یک سازمان برای پیاده سازی یک سیستم امنیتی اعمال می کند به شرح زیر می باشد:
۱ تعیین سیاست امنیتی اطلاعات
۲ اعمال سیاستهای مناسب
۳ بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی
۴ بازرسی و تست امنیت شبکه اطلاعاتی
۵ بهبود روشهای امنیت اطلاعاتی سازمان( دشتی، ۱۳۸۴: ۱۵۹).

در پیش گرفتن سیاست امنیتی باید با توجه بدین نکات باشد:
۱ ایجاد امنیت از نظر فیزیکی: همانگونه که در بخشهای قبل اشاره شد امنیت تجهیزات و امکانات مادی در ایجاد یک کانال امن برای تبادل اطلاعات بسیار موثر است. انتخاب لایه کانال ارتباطی امن، انتخاب توپولوژی مناسب برای شبکه، امنیت فیزیکی، محل‌های امن برای تجهیزات، منابع تغذیه شبکه و حفاظت تجهیزات در مقابل عوامل محیطی مواردی است که در امنیت یک سیستم اطلاعاتی بسیار موثرند(بهاری، ۱۳۸۴).
۲ سطح بندی صحیح اطلاعات با توجه به ارزش اطلاعات و امکان دسترسی به موقع به اطلاعات برای کاربران هر سطح.

۳ آموزش کاربران اطلاعاتی سازمان در چگونگی استفاده از تجهیزات سخت افزاری و نرم افزاری سازمان و نیز آموزش راههایی که نفوذ گران برای کسب اطلاعات سازمان استفاده می کنند[۹] و هشدار به کارمندان در حفاظت از اطلاعات سازمان. از سوی دیگر ایجاد حس تعهد نسبت به شغل و سازمان در کارمندان از طریق اعمال مدیریت صحیح.
۴ رمز گذاری اطلاعات و استفاده از امضا دیجیتال[۱۰] در ارسال اطلاعات موجب افزایش ضریب اطمینان در تجارت الکترونیک خواهد شد.
۵ تغیر مداوم در الگوریتم های استفاده شده برای رمز گذاری در کاهش احتمال کشف رمز توسط نفوذ گران و کلاهبرداران اطلاعاتی بسیار موثر است.

۶ استفاده از انواع امکانات امنیتی ( البته با توجه نتایج ارزیابی سطح امنیتی مورد نیاز) از جمله استفاده از پراکسی که نقش ایجاد دیواره آتش (Firewall) فیلتر کردن (Filtering)، ثبت کردن (Logging) و تصدیق هویت (Authentication) را در شبکه بر عهده دارد; نیز استفاده از نرم افزارهای مقابله با ویروسها.
۷ استفاده از تست نفوذ پذیری: رویه ای است که در آن میزان امنیت اطلاعات سازمان شما مورد ارزیابی قرار می گیرد.

یک تیم مشخص با استفاده از تکنیک های هک یک حمله واقعی را شبیه سازی می کنند تا به این وسیله سطح امنیت یک شبکه یا سیستم را مشخص کنند. تست نفوذپذیری به یک سازمان کمک می کند که ضعف های شبکه و ساختارهای اطلاعاتی خود را بهتر بشناسد و در صدد اصلاح آنها بر آید. این امر به یک سازمان کمک می کند تا در زمینه تشخیص، توانایی پاسخ و تصمیم مناسب در زمان خود، بر روی امنیت نیروها و شبکه خود یک ارزیابی واقعی داشته باشد. نتیجه این تست یک گزارش می باشد که برای اجرایی شدن و بازرسی های تکنیکی مورد استفاده قرار می گیرد(شریفی، ۱۳۸۳).

۸ با استفاده از یک سیستم پشتیبان گیری اطلاعات از احتمال از بین رفتن اطلاعات جلوگیری نماید. سیستم پشتیبان گیری مناسبی را که سازگار با سیستم اطلاعاتی سازمان است انتخاب نموده و تستهای مربوط به بازیابی اطلاعات را به صورت آزمایشی روی سیستم اعمال نمایید.
۹ بطور مرتب تجهیزات و سیستم اطلاعاتی سازمان را بازرسی نمایید و هر گونه مشکل را گزارش نموده و سعی در رفع آن نمایید. همچنین بطور مرتب سیستم اطلاعاتی و امنیتی سازمان را به روز رسانی کنید و آموزش کارمندان را به صورت مستمر ادامه دهید(دشتی، ۱۳۸۴: ۱۶۰).

استانداردها و تجارت الکترونیکی:
استانداردها نقش مهمی را در توسعه یک ساختار ایفا می کنند. استانداردهای زیادی در زمینه های مختلف تجارت الکترونیکی مطرح هستند. مدیران IS بایستی با استانداردهای موجود آشنا بوده و قابلیت اجرای آنها را برای ارگانیسم خود ارزیابی کنند. استانداردها و پروتکل های تجارت الکترونیک در زمینه های مختلف عبارتند از:
! پروتکل های امنیتی ( STT,S-HTTP,SSL و;)
! پروتکل های امنیتی – پرداختی (SEPP,IKP,SET)
! پروتکل های مالی – پرداختی (JEPI,BIPS,OFX و;)

پروتکل های امنیتی: اخیراً هر کاربر اینترنت باید تبادلات را قبل از فرستادن پیام از طریق اینترنت به طور روشن محافظت کند. یک دسته از پروتکل های امنیتی، امنیت را برای لایه اینترنت فراهم می کنند. این پروتکل ها مثــــل ISAKMP,SKIP,IPSEC و غیــره پروتکل های امنیتی لایه اینترنت هستند. سری دیگر از پروتکل های امنیتی، پروتکل های امنیتی لایه انتقال هستند مثل TLS,PCT,SSL و SSH .آخرین سری از پروتکل های امنیتی، پروتکل های امنیتی لایه کاربردی هستند. این پروتکل ها مثـل SMTP,S-HTTP ، امنیت را در لایه کاربرد ایجاد می کنند.

انتقال اطلاعات مهم مثل شماره کارت اعتباری اشخاص باید با امنیت کامل انجام گیرد. بافرض یک انتقال ایمن با پروتکل SSL,TCP/IP به عنوان پروتکل امنیتی لایه انتقال در زیر لایه کاربردی قرار گرفته و امنیت ارتباطات بین سرویس دهنده و سرویس گیرنده را برقرار می کند.SSL یکی از پروتــکل های امنیتی است و به دلیل مزایای زیر برای سرویس تجارت الکترونیک مناسب است [۳,۷].

! مستقل از لایه کاربرد است؛
!، SSI از تکنیک رمزنگاری خود به صورت قابل انعطاف عمل می کند؛
! تصدیق اصالت را برای طرفین معامله فراهم می سازد؛
! رمـــزنگـاری و امضای دیجیتالی را به کار می برد؛
! قابلیت کار با FTP ،TOLMET ، HTTP را داراست.
پروتکل S-HTTP جایگزینی برای SSL محسوب می شود و اولین بار توسطEIT مطرح شد. این پروتکل به میزان SSL ، شناخته شده نبوده و فقط با HTTP سازگاری دارد.

SSL نیازهای امنیتی ذیل را برای سرویس تجارت الکترونیک برآورده می سازد. این نیازهای امنیتی عبارتند از:
! پنهان سازی (PRIVACY) فرض کنید که پیغام های انتقال یافته از A به B رمزدار شده است. A از کلید عمومی مربوط به B برای کدکردن پیغام استفاده می کند. در این حالت B تنها کسی است که می تواند پیغام را رمــزگشایی کرده و بااستفاده از کلید خصوصی اش آن را بخواند.
! تصدیق اصالت ((AUTHENTICITY
گیرنده اطلاعات این امکان را پیدا می کند که هویت فرستنده را دریابد.

امنیت بازار الکترونیک:
در سیستم بازار الکترونیک امنیت به معنای محرمانگی وجود ندارد بدین معنا که هر فروشنده میتواند از محتوای پیشنهادات فروشندگان متاخر ، مطلع شود.این روش علاوه بر ایجاد امکان رمزگذاری نامتقارن مزیت دیگری نیز دارد. فروشنده میتواند با ارزیابی سایر پیشنهادات ، پیشنهاد خود را درج کند. پیش فرض ما این است که بازار الکترونیک برای خرید های غیر کلان طراحی گردیده و برای مناقصه ها مناسب نیست.

عامل متحرک بصورت یک قطعه کد و به همراه جداول داده – که شامل پیشنهادات فروشندگان قبلی است- بین سایت های مختلف فروشنده منتقل میشود. در صورتی که تدابیر امنیتی لازم اندیشیده نشود ، هر یک از فروشندگان قادر خواهند بود تغییراتی در پیشنهادات فروشندگان قبلی و یا کد دستورات ایجاد نمایند که این امر برای از میدان به در کردن رقبا کاملا محتمل است.

رمز گذاری نامتقارن
در رمز گذاری معمولی – یا متقارن- یک کلید برای رمزگذاری وجود دارد و از همان کلید هم برای خارج کردن متن از رمز استفاده میشود. اما در رمز گذاری نامتقارن از دو کلید مجزا برای این منظور استفاده میشود.به بیان دیگر در روش رمزگذاری نامتقارن متن رمز شده فقط توسط دارنده کلید اختصاصی قابل ایجاد است اما از رمز در آوردن آن توسط کسانی که کلید عمومی را در اختیار دارند (همه افراد) ممکن است.