جمعه, ۱۸ خرداد, ۱۴۰۳ / 7 June, 2024

مجله ویستا

امنیت در فناوری اطلاعات

استفاده از رایانه در كسب و كار از زمانی متحول و فراگیر شد كه دسترسی به اطلاعات با سرعت بالا و هزینه كم امكان پذیر گردید. این تحول به شركتهایی كه در گذشته از رایانه برای واژه پردازی و یا ذخیره اطلاعات استفاده می كردند، اجازه داد كه رایانه های خود را به صورت شبكه درآورند و آن شبكه را به اینترنت متصل كنند. نیروهای رقابتی و شرایط سریع كسب و كار، سازمانها را مجبور ساخته است كه برای بقا، شبكه های خود را به روی دیگران باز كنند و تا جایی كه ممكن است از راه كارهای الكترونیك برای كسب و كار استفاده كنند درحالی كه این تحولات منافع بسیاری در گسترش تجارت امكان كار در خارج از اداره و حمایت نیروهای فروش در خارج از شركت را برای بسیاری از شركتها ایجاد می كند. متاسفانه خطراتی مانند ویروس‌های رایانه ای و خرابكاریهای رایانه‌ای را نیز به همراه خود می آورد.
به طورمعمول اخبار روز شامل گزارشهایی درباره آخرین كرمها و ویروسهای رایانه‌ای و خرابكاریهای روزافزون رایانه در شركتها وسازمانهای مختلف است. اینگونه اخبار ممكن است مدیر یك شركت را بر آن دارد كه بگوید استفاده از اینترنت در تجارت به خطراتش نمی‌ارزد. درحالی كه خطرات جدی و واقعی، هنگامی كه شناخته شوند می توان با آنها برخورد مناسب داشت و جلو بروز آنها را به میزان قابل ملاحظه ای گرفت. استفاده روزافزون از اینترنت توسط شركتهای كوچك و متوسط، لزوم آگاهی و یادگیری بیشتر درموردامنیت اطلاعات در سیستم‌های رایانه ای را برای مدیران این شركتها ایجاب می‌كند. در اینجا هدف ما ارائه اطلاعاتی است كه بتواند به شركتها كمك كند تا ضمن استفاده از اینترنت و شبكه‌های رایانه ای در برابر خطرات ناشی از ویروسها و خرابكاریهای رایانه‌ای نیز از خود محافظت كنند.
● امنیت اطلاعات
به طوركلی امنیت اطلاعات در سه اصل زیر خلاصه می شود:
- محرمانه بودن: بدین معنی كه فقط افراد مجاز حق دسترسی به اطلاعات را داشته باشند.
- صحت و استحكام: بدین معنی كه اطلاعات دست نخورده بماند و تغییر در آنها فقط توسط افراد مجاز در صورت لزوم به صورت درست و قابل پیگیری انجام شود.
- دردسترس بودن: بدین معنی كه اطلاعات درموقع نیاز به صورت قابل استفاده دردسترس قرار گیرد.
● تهدیدها
تهدیدهای امنیتی مربوط به اطلاعات رایانه ای و یا به عبارتی حملات رایانه‌ای شامل مواردی می شود كه حداقل یكی از اصول سه گانه امنیت را مخدوش سازد. هدف از یك حمله رایانه ای در كنترل گرفتن یك یا چند رایانه به منظور از كارانداختن، مخدوش كردن یا سوءاستفاده از اطلاعات موجود در آنها ویا به كارگیری آنها برای خرابكاری در رایانه‌های دیگر است.
كسانی كه به این حملات دست می‌زنند یا به اصطلاح خرابكارها معمولا" سه دسته هستند:
- افراد آماتور كه اغلب اطلاعات دقیقی از نحوه كار سیستم های عامل و فناوری اطلاعات نداشته و صرفا" برای تفریح از برنامه‌ها و ابزارهای از پیش تهیه شده برای دسترسی به رایانه‌های محافظت نشده استفاده می‌كنند این افراد را SCRIPT KIDDIES یا SREKCARC می‌نامند.
-خرابكاران حرفه ای كه معمولا" در ازای دریافت پول اطلاعات ذیقیمت شركتها را دراختیار رقبای آنها یا گروههای ذینفع قرار می‌دهند و یا در سیستم شركتهای رقیب خرابكاری می‌كنند. این افراد در امور فناوری اطلاعات وارد بوده واز آسیب‌پذیریهای سیستم های عامل و برنامه‌های مورداستفاده مطلع بوده و قادرند ردپای خود را ناپدید سازند. این افراد را در اصطلاح هكرها (HACKERS) می‌گویند.
- كاركنان فعلی شركتها و یا كاركنان سابق آنها كه به نحوی از شركت مذكور نارضایتی داشته و به قصد انتقامجویی و یا صدمه زدن در سیستم‌های اطلاعاتی شركت با استفاده از دانش و اطلاعات خود از سیستم‌های موردنظر به خرابكاری دست می زنند.
حملات رایانه ای معمولا" در سه مرحله انجام می شود:
مرحله اول – شناسایی و جمع آوری اطلاعات درمورد رایانه هدف؛
مرحله دوم – یافتن نقاط آسیب پذیر و راههای واردشدن به سیستم به عنوان یك كاربر مجاز؛
مرحله سوم – درصورت امكانپذیر نبودن مرحله دوم تلاش برای دسترسی به رایانه هدف از طریق دیگر و بدون استفاده از مشخصات كاربران مجاز انجام می پذیرد.
● انواع تهدیدهای رایانه ای
تهدیدهای رایانه ای به صورت زیر دسته‌بندی می شوند:
۱ – ویروسها و كرمها – اینها برنامه‌های كوچكی هستند كه ازطریق پست الكترونیك و یا نرم افزارهای آلوده به این ویروسها وارد یك رایانه شده و در آنجا به صدمه زدن و خرابكاری در برنامه ها و یا اطلاعات رایانه مذكور می پردازند.
۲ – اسب تروا (TROJAN HORSE) – برنامه‌هایی هستند كه ظاهرا" ماهیت خرابكاری نداشته به صورت برنامه‌های بازی و یا كمكی وارد سیستم شده و سپس در خفا به كارهای غیرمجاز و كنترل رایانه و سرقت اطلاعات محرمانه و یا شخصی كاربر می‌پردازند.
۳ – از كارانداختن (DENIAL OF SERVICE) – این عمل با ایجاد تعداد زیادی تقاضای سرویس از یك سیستم انجام شده و درنتیجه سیستم مذكور كارایی خود را از دست داده و یا از كار می افتد. درنتیجه سیستم نمی تواند خدمات لازم را به مشتریان واقعی خود ارائه كند. نظیر مشغول كردن یك تلفن.
۴ – شنود اطلاعات – در این مورد در مسیر ارتباطات ازطرق گوناگون اطلاعات مبادله شده سرقت و یا شنود می شوند.
۵ – وب سایت های تقلبی (PHISHING) – در این مورد یك وب سایت تقلبی با شكل و قیافه و امكانات كاملا" مشابه به یك وب سایت واقعی طراحی و دراختیار كاربران قرار می‌گیرد و بدین‌وسیله اطلاعات شخصی و محرمانه كاربران را به سرقت می برند.
● محافظت
برای محافظت از سیستم‌های اطلاعاتی رایانه‌ای شناسایی قسمتهای مختلف سیستم و آسیب پذیریهای موجود در آن ضروری است. پس از شناسایی و رفع آسیب پذیریهای سیستم باید مرتباً مواظب بود كه آسیب پذیریهای جدید به وجود نیاید و به طور متناوب سیستم را بررسی كرد تا از امنیت آن مطمئن شد درحالی كه هیچگاه نمی‌توان صددرصد از امنیت یك سیستم مطمئن بود ولی با اقدامات زیر می توان تا حد بسیار بالایی امنیت وحفاظت از یك سیستم را فراهم ساخت:
۱ – تهیه نقشه و راهنمای سیستم: این كار شامل شناسایی رایانه ها و شبكه‌های متصل و غیرمتصل به اینترنت و به خط تلفن و یا بی سیم، نرم افزارها و سیستم های عامل مورداستفاده نرم افزارهای ضدویروس و محافظ و اطلاعات و برنامه های حساس تجاری خواهدشد؛
۲ – تهیه سیاست امنیتی: این كار شامل تعریف سیاستهای مربوط به استفاده از رایانه‌‌‌ها توسط كاركنان و روشهای مورداستفاده در امنیت و حفاظت اطلاعات است. این سیاست چارچوبی را برای حفاظت از شبكه‌های رایانه‌ای و منابع اطلاعاتی موجود در آنها تعیین می‌كند. این سیاست باید به سادگی برای مدیران و كاركنان قابل درك بوده و تمامی نكات و موارد مربوط به امنیت را دربرگیرد. ازجمله مطالب مهم این سیاست عبارتند از:
تعریف استفاده مجاز، چگونگی احراز هویت و انتخاب كلمه رمز، مسئولیت به روز كردن نرم افزارهای موجود در هر رایانه اقدامات لازم درهنگام بروز یك حمله و یا ویروس رایانه ای و مسئولیتهای افراد دراین مورد.
معمولاً سیاست امنیتی در دو شكل تهیه می‌گردد. یكی به صورت ساده وكلی كه برای عموم كاركنان قابل استفاده باشد و دیگری با جزئیات بیشتر كه معمولاً محرمانه است و برای استفاده مدیران و كارشناسان فناوری اطلاعات و امنیت است.
۳ – محكم كاری در نرم افزارهای مورداستفاده: این قسمت شامل شناسایی نرم افزارهای موجود در سیستم و به روز كردن آنهاست. زیرا معمولا" آخرین مدل یك نرم افزار آسیب پذیریهای كمتری نسبت به مدلهای قدیمی تر آن دارد. ازجمله كارهای دیگر دراین قسمت حذف برنامه های آزمایشی و نمونه و برنامه‌هایی كه ازنظر امنیتی مطمئن نیستند از سیستم های مورداستفاده است.
۴ – كاهش تعداد نقاط دسترسی و كنترل نقاط باقیمانده: این مرحله شامل بررسی نقشه سیستم و شناسایی نقاط اتصال به اینترنت و دسترسی از راه دور به منظور كاهش نقاط دسترسی به حداقل ممكن و كنترل نقاط باقیمانده ازنظر دسترسی و ورود و خروج اطلاعات است.
۵ – شناسایی نقاط ورود پنهان: شناسایی و حذف مودم ها و نقاط دسترسی غیرمعمول كه احتمالا" از نظرها پنهان می ماند ولی بعضی از كاركنان آنها را مورداستفاده قرار می دهند.
۶ – نصب دیواره آتش (FIREWALL): این سیستم برای جداسازی و محافظت سیستم داخلی از اینترنت و همچنین كنترل دسترسی به سایت های اینترنتی به خصوص سایت‌های غیرمربوط به كار نصب می گردد. در مواردی می‌توان رایانه‌های مشخصی را جهت استفاده از اینترنت اختصاص داد. درصورت نیاز تغییر پورت های اتصال و آموزش كاركنان درمورد راههای درست دسترسی حائزاهمیت است.
۷ – نصب سیستم‌های تشخیص و جلوگیری از ورود غیرمجاز (INTRUSION DETECTION AND PREVENTION SYSTEMS): این سیستم‌ها به مانند دزدگیر عمل كرده و ورود و دسترسی غیرمجاز به سیستم را ثبت و اطلاع می‌دهد و یا از انجام آن جلوگیری می‌كند. حتی در مواردی كه عبور غیرمجاز از دیواره آتش انجام پذیرد با استفاده از این سیستم می توان آن را شناسایی و از بروز مجدد آن جلوگیری كرد. همچنین با بررسی به موقع لیست ثبت شده توسط سیستم IDP وشناسایی تلاشهای انجام شده برای دسترسی غیرمجاز به سیستم می‌توان از خطرات آتی جلوگیری كرد.
۸ – نصب نرم‌افزارهای ضدویروس: نصب نرم افزارهای ضدویروس در دروازه های ورودی سیستم و در رایانه‌ها برای شناسایی و جلوگیری از ورود ویروس های رایانه های به سیستم و احیاناً مرمت سیستم های آلوده به ویروس ضروری است. این نرم افزارها باید مرتباً به روز درآیند تا همواره از آخرین اطلاعات مربوط به ویروس‌های رایانه‌ای استفاده گردد.
۹ – بررسی متناوب عملكرد سیستم و رفع اشكالات آن: این بررسی ها به مدیریت این امكان را می دهد تا با درنظر گرفتن خطرات امنیتی موجود و نیاز به انجام عملیات تجاری، ضمن رفع اشكالات شناخته شده سیاست و برنامه امنیتی متناسب و متوازنی را اتخاذ كند.
۱۰ – آموزش كاركنان: كاركنان باید باتوجه به نیاز آنها در سطوح مختلف درباره مسائل امنیتی و حفاظت از اطلاعات رایانه ای آموزش دیده و آگاهی های لازم را پیدا كنند. ازجمله آموزش سیاست امنیتی شركت از ضروریات است.
● استانداردهای بین المللی برای امنیت اطلاعات
دررابطه با امنیت اطلاعات و داده ها و حفاظت از اطلاعات حساس، استاندارد انگلیسی BS۷۷۹۹ به وجود آمده كه بعداً به صورت استاندارد بین المللی ISO۱۷۷۹۹ درآمد. این استانداردها ایجاد ۱۰ كنترل كلیدی را ملزم ساخته كه عبارتنداز:
۱ – تهیه یك سیاست امنیتی مدون؛
۲ – مشخص كردن مسئولیتهای امنیتی در سازمان؛
۳ – آموزش درموارد امنیت اطلاعات؛
۴ – گزارش به موقع تهدیدات امنیتی و نحوه برخورد با آنها؛
۵– جلوگیری و كنترل ویروس‌های رایانه‌ای؛
۶– برنامه ادامه تجارت درصورت بروز خطرات امنیتی؛
۷ – كنترل تكثیر و كپی كردن نرم‌افزارهای دارای حقوق محفوظ؛
۸ – ایجاد فرایند مناسب برای مدیریت ثبت اطلاعات حساس؛
۹ – حفاظت از اطلاعات شخصی و خصوصی افراد؛
۱۰ – بررسی متناوب پیروی از استانداردها.
این ۱۰ كنترل، اطلاعات الكترونیك و غیرالكترونیك و همچنین نحوه ذخیره الكترونیك و فیزیكی آنها را شامل می‌شود.
باتوجه به اینكه مقوله امنیت اطلاعات و بخصوص مطابقت با یك استاندارد قابل قبول بین المللی هم ازنظر شركتها و تولیدكنندگان و هم ازنظر مشتریان و خریداران خدمات این شركتها حائزاهمیت است و بادرنظر گرفتن اینكه رعایت استانداردهای امنیتی شركتها را در زمینه مسئولیتهای قانونی آنها حمایت می‌كند توجه به استانداردهای بین‌المللی امنیت اطلاعات و پیروی از آنها در بازار جهانی امروز از اهمیت بیشتری برخوردار گشته است.
●● نتیجه گیری
اینترنت و شبكه های رایانه ای موجود در سازمانها و شركتها قابلیت جستجو و مبادله اطلاعات را به صورت بی‌سابقه امكان‌پذیر ساخته است. به وجود آمدن تجارت الكترونیك شركتهایی را كه حتی در گذشته تصور آن را هم نمی كردند قادر ساخته است كه به عرضه خدمات و كالاهای خود در سطح جهانی بپردازند.
درحالی كه چنین ابزار قدرتمندی در امر تجارت، انقلابی ایجاد كرده است نیاز به داشتن رایانه های امن و دسترسی امن به اینترنت را نیز الزام آور ساخته است. یك شركت كوچك یا متوسط در مقایسه با یك شركت بزرگ كه سرمایه زیادی را درجهت امن كردن سیستم های رایانه ای خود به كار برده است ممكن است برای یك خرابكار اطلاعاتی هدفی به مراتب ساده تر و بهتر باشد. به عنوان یك مدیر شما باید از چند وچون خطراتی كه دسترسی به اینترنت و شبكه رایانه ای شما را تهدید می كند اطلاع داشته باشید. شما نیازمند این هستید كه وقتی را به مقوله امنیت اختصاص دهید زیرا ایجاد یك سیستم امن رایانه ای نیازمند صرف وقت و منابع لازم است. دقت كافی توسط مدیریت وكارشناسان فناوری اطلاعات در زمینه امنیت اطلاعات و ایجاد محیط امن رایانه ای به شما امكان می دهد تا از منافع بسیاری كه اینترنت و شبكه های رایانه‌ای برای تجارت شما ایجاد می كند بهره‌مند گردید. آگاهی كامل از انواع تهدیدات وچگونگی مقابله با آنها خطرات ناشی از تهدیدات را به مرور كمتر خواهدكرد. درك مسائل امنیتی توسط مدیران و حضور موثر آنها در ایجاد و اجرای یك برنامه امنیت اطلاعات كارامد و متناسب با نیازهای سازمان و با رعایت استانداردهای موجود ضروری است.

جمعه, ۱۸ خرداد, ۱۴۰۳ / 7 June, 2024

امنیت در فناوری اطلاعات

ویزای تضمینی ایتالیا کانادا

فروش و تعمییرات تخصصی ماشین های اداری

تولید کننده تورهای پشه بندی , ارگانزا، /حریر، تور های تزئیناتی …

جامع‌التواریخ (تاریخ اسماعیلیان)

◊ نویسنده : محمد روشن,رشیدالدین‌فضل‌الله همدانی ◊ موضوع : ایران - تاریخ - اسماعیلیان، ۶۵۴ - ۴۸۳ ق,فاطمیان - تاریخ

فریاد عشق

آرامش حقیقی: به خشونت درون خود، خانواده، جامعه و دنیا پایان دهید

◊ نویسنده : علی ابوطالبی,مینا اعظامی,تیک نات‌هان,زهرا صفاری ◊ موضوع : صلح - جنبه‌های مذهبی,بودا و بودیسم,بودا و بودیسم - جنبه‌های اجتماعی

دنیای ناشناخته جن

◊ نویسنده : جعفر حمزه ◊ موضوع : جن

جنگ و صلح (جلد سوم و چهارم)

◊ نویسنده : لی‌یف‌نیکالایویچ تولستوی,سروش حبیبی ◊ موضوع : داستانهای روسی - قرن ۱۹

بعثت، غدیر، عاشورا، مهدی: برای نوجوانان و جوانان

◊ نویسنده : حکیمی - محمدرضا

نقش منافذ موجود در پوسته تخم مرغ

راهنمای استفاده از نرم‌افزار Roc Lab: تحلیل مقاومت توده سنگ با استفاده از معیار شکست هوک - برون

کتاب راهنمای اورژانس

◊ نویسنده : هدیه سلطانی,علی نیک‌فرجام,ماریا پاول ◊ موضوع : اورژانس - دستنامه‌ها,کمکهای اولیه - دستنامه‌ها

هانا آرنت و انسان سیاسی

هانا آرنت، بانوی فیلسوف و نظریه پرداز عرصه سیاست را در ایران کمابیش می شناسند. چند اثر اصلی او با ترجمه های خوب به فارسی موجود است.

رنج انتظار

نقش عایشه در احادیث اسلام

◊ نویسنده : عسکری - سیدمرتضی

سلامت دیجیتالی

واژه Healthـe ابتدا در دهه ۹۰ میلادی کلمه ای عمومی بود و به تمام مسائل مشترک میان کامپیوتر و پزشکی اطلاق می شد.

منازل الاخره: پیرامون مرگ و جهان پس از مرگ

◊ نویسنده : قمی - عباس

قوانین و مقررات فوتسال: همراه با پرسش و پاسخ

◊ نویسنده : فدراسیون‌بین‌المللی‌فوتبال(فیفا),کیوان مرادیان,ابراهیم علی‌دوست ◊ موضوع : فوتبال سالنی - قواعد

هدیه پیامبر(ص ) به فاطمه (علیهاالسلام)

ریشه ها و زمینه های گرانی جهانی مواد غذایی

فال گوش: اشعار محلی بروجنی

نفوذ ادبیات فارسی در مالزی؟!

دایناسورها

◊ نویسنده : محمدرضا پارسایار,مونا فخیم ◊ موضوع : دایناسورها - ادبیات نوجوانان

کم‌کاری تیرویید

Let's Speak English: Workbook

◊ نویسنده : Nakata - RichardFrazier - KarenDriscoll - Robin

سوال‌های طبقه‌بندی‌ شده ریاضی سوم راهنمایی: شامل نمونه سوالات امتحانی، المپیادهای ریاضی و پرسش‌های چهارگزینه‌ای

◊ نویسنده : هوشنگ علیمرادی

اصول دعوت اسلام

◊ نویسنده : محمد طیب,محمد حسین‌بر ◊ موضوع : اسلام - تبلیغات - مسائل متفرقه

کردها عبرت یا فرصت

همراه با زبان انگلیسی دوم راهنمایی

◊ نویسنده : صلاتی - محمدمهدی

نه خودم, نه تو, نه این دل‌!

کله پاچه

دامپروری عمومی

سایه‌ای روی تخته سیاه "قصه‌هایی از مدرسه"

◊ نویسنده : قاسم کلهرنیا‌گلکار,بهروز کلهرنیا‌گلکار ◊ موضوع : داستانهای فارسی - قرن ۱۴

تدبیر ـ سال نوزدهم، شماره ۱۹۹، آذر ۱۳۸۷

▪ بحران در بازارهای مالی جهان، درس‌هائی برای یادگیری ▪ راهبری فناوری اطلاعات در سازمان ▪ چالش‌های اقتصادی ایران در تعامل با اقتصاد جهانی

توتی در آستانه تصاحب کفش طلای اروپا

American headway: starter: workbook

◊ نویسنده : Falla - TimSoars - JohnSoars - Liz

مدیریت حجم وسیع اطلاعات

صبور باشید

بهترین روش در تربیت کودکان

◊ نویسنده : مهدوی - مجید

آموزش جامع ادبیات فارسی کنکور

◊ نویسنده : ذوالفقاری - حسن

آموزش سریع طراحی برد مدار چاپی Protel 99 SE

◊ نویسنده : شکیباپور - محسن ◊ نویسنده : شایان‌فرد - بیتا ◊ نویسنده : مقصودزاده - زهرا

وظایف داور و کمک‌داور فوتبال

داور که به‌عنوان قاضی بی‌طرف بازی به حساب می‌رود از مهمترین و تأثیرگذارترین افراد در یک رقابت فوتبال است.

راز

◊ نویسنده : عیسی جلالی,مهدی قراچه‌داغی,راندا برن ◊ موضوع : تفکر نوین

دفتر تمرین و آموزش عربی: سال اول دبیرستان

◊ نویسنده : اعتمادی - حسینچمنی‌محصصی - محمد

پژوهشی در اندیشه و آثار حکیم عمر خیام نیشابوری ـ فیلسوف, ریاضیدان, اخترشناس و شاعر بزرگ ایرانی

◊ نویسنده : معتمدی - اسفندیارحسینی‌ایرانی - حجه‌الحقنوشتار حاضر به معرفی و در زندگی‌نامه حکیم عمر خیام, شاعر و ریاضی‌دان ایرانی اختصاص دارد.

انگور شیشه‌ای

الهدی ـ العدد ۱۸۵

▪ صراع الدببه و الثعلب ▪ المصابیح ▪ مدرسه الهدی

استان اصفهان

◊ نویسنده : مهدوی - سهراب ◊ نویسنده : دهقانی - سیمین

۶ اردیبهشت ۱۳۳۰ ـ اخطار انگلستان، خرابکاری، رفتن علاء و آمدن مصدق

کارشناسی ارشد Linguistics (زبان تخصصی زبان‌شناسی همگانی) قابل استفاده‌ی: داوطلبان آزمون‌های ورودی کارشناسی ارشد رشته‌ی زبان‌شناسی ...

◊ نویسنده : معتمدی - اسفندیارحسینی‌ایرانی - حجه‌الحق
نوشتار حاضر به معرفی و در زندگی‌نامه حکیم عمر خیام, شاعر و ریاضی‌دان ایرانی اختصاص دارد.